CISA wymaga sprawdzenia i zabezpieczenia urządzeń Cisco – dyrektywa ED 25-03

Agencja CISA (Cybersecurity and Infrastructure Security Agency) wydała pilną dyrektywę ED 25-03, która nakazuje władzom federalnym USA natychmiastowe podjęcie działań w celu identyfikacji i neutralizacji możliwych naruszeń bezpieczeństwa w urządzeniach marki Cisco.

Tło i motywacja

CISA poinformowała o kampanii ataków prowadzonych przez zaawansowanego aktora zagrożeń, który wykorzystuje luki typu zerowego dnia (zero-day) w urządzeniach Cisco ASA (Adaptive Security Appliance) oraz w niektórych wariantach Cisco Firepower.

Atakujący potrafi uzyskać zdalne wykonanie kodu, manipulować pamięcią ROM (by utrzymać dostęp nawet po restarcie urządzenia) oraz eskalować uprawnienia. Eksperci wskazują, że kampania może być powiązana z wcześniejszą działalnością znaną jako „ArcaneDoor”.

Co nakazuje dyrektywa ED 25-03?

Dyrektywa wymaga od agencji federalnych:

1. Identyfikacji wszystkich urządzeń Cisco objętych zakresem (ASA, Firepower, rozwiązania wirtualne).

2. Analizy forensic i wykonania zrzutów pamięci (core dumpów) zgodnie z instrukcjami CISA.

   • W przypadku wykrycia kompromisu: natychmiastowe odłączenie urządzenia (bez wyłączania), zgłoszenie incydentu i współpraca przy usuwaniu zagrożenia.

3. Wyłączenia lub aktualizacji urządzeń bliskich końca wsparcia (EoS).

4. Aktualizacji oprogramowania do najnowszych wersji na wszystkich aktywnych urządzeniach.

5. Raportowania do CISA: pełna inwentaryzacja sprzętu, działania naprawcze oraz wyniki analiz w wyznaczonym terminie.

Dyrektywa obejmuje zarówno systemy rządowe, jak i te obsługiwane przez zewnętrznych dostawców.

Znaczenie i konsekwencje

• Dokument ma charakter emergency directive, co oznacza obowiązek natychmiastowej realizacji.

• Zignorowanie wytycznych może skutkować poważnym zagrożeniem dla infrastruktury krytycznej i bezpieczeństwa państwa.

• Wytyczne mogą być także cenną wskazówką dla innych organizacji korzystających z urządzeń Cisco na całym świecie.