Skip to main content
Shaping Europe’s digital future
News article | Δημοσίευση

Κοινή δήλωση σχετικά με τα ασφαλή τρωτά σημεία Ivanti Connect και Ivanti Policy Secure Vulnerabilities

Η Ευρωπαϊκή Επιτροπή, ο ENISA, ο Οργανισμός της ΕΕ για την Κυβερνοασφάλεια, η CERT-ΕΕ, η Ευρωπόλ και το δίκτυο των εθνικών ομάδων αντιμετώπισης περιστατικών ασφάλειας υπολογιστών της ΕΕ (δίκτυο CSIRT) παρακολουθούν στενά την ενεργό εκμετάλλευση των τρωτών σημείων στα προϊόντα ασφαλούς ασφαλούς πύλης Ivanti Connect και Ivanti Policy Secure Gateway, λύσεις εμπορικού εικονικού ιδιωτικού δικτύου (VPN) που ήταν προηγουμένως γνωστές ως Pulse Connect Secure.

Μετά την αρχική γνωστοποίηση δύο τρωτών σημείων στις αρχές Ιανουαρίου, στις 31 Ιανουαρίου 2024 δημοσιοποιήθηκαν δύο επιπλέον τρωτά σημεία, τα οποία επηρεάζουν όλες τις υποστηριζόμενες εκδόσεις των προϊόντων Ivanti Connect Secure και Ivanti Policy Secure Gateway και επιτρέπουν στους επιτιθέμενους να εκτελούν εντολές στο σύστημα. Ήδη από τα μέσα Ιανουαρίου είχε παρατηρηθεί ευρύτερη εκμετάλλευση των τρωτών σημείων που είχαν γνωστοποιηθεί αρχικά. 

Δεδομένου ότι πρόκειται για εξελισσόμενη κατάσταση, συνιστούμε θερμά σε όλους τους οργανισμούς να ελέγχουν τακτικά την καθοδήγηση που παρέχουν τα μέλη του δικτύου CSIRT και η CERT-ΕΕ για την τελευταία αξιολόγηση και παροχή συμβουλών. Για λεπτομερείς οδηγίες σχετικά με τον τρόπο συμπλήρωσης της συνιστώμενης επαναφοράς στο εργοστάσιο, οι οργανισμοί μπορούν επίσης να ακολουθούν τις λεπτομερείς οδηγίες του πωλητή.

Είναι ζωτικής σημασίας για τους οργανισμούς να ανταποκρίνονται κατάλληλα στις τελευταίες εξελίξεις προκειμένου να επαναλάβουν τις κρίσιμες επιχειρηματικές τους δραστηριότητες.

Οι τελευταίες συμβουλές που δημοσιεύθηκαν από τα μέλη του δικτύου CSIRT διατίθενται στους σχετικούς επίσημους διαύλους επικοινωνίας τους. Οι οργανισμοί μπορούν επίσης να παραπέμπουν στην καθοδήγηση που παρέχεται από τη CERT-ΕΕ την οποία τηρεί ο ENISA ως συμβουλευτική συλλογή.

Ο ENISA και όλοι οι σχετικοί φορείς της ΕΕ θα συνεχίσουν να παρακολουθούν την απειλή αυτή, ώστε να συμβάλουν στη συνολική επίγνωση της κατάστασης σε επίπεδο Ένωσης.

Πολιτική ΕΕ

Οι οργανισμοί θα πρέπει να γνωρίζουν περαιτέρω ότι η πράξη της ΕΕ για την κυβερνοανθεκτικότητα (CRA), μόλις τεθεί σε ισχύ, θα απαιτεί από τους κατασκευαστές προϊόντων υλισμικού και λογισμικού, συμπεριλαμβανομένων των λύσεων VPN, να ακολουθούν τις αρχές της ασφάλειας εκ σχεδιασμού καθ’ όλη τη διάρκεια του κύκλου ζωής των εν λόγω προϊόντων. Αυτό περιλαμβάνει την αποκατάσταση των τρωτών σημείων χωρίς καθυστέρηση. Δεδομένης της κρισιμότητάς τους, οι λύσεις VPN θα υπόκεινται σε αυστηρές απαιτήσεις αξιολόγησης της συμμόρφωσης. Μπορείτε επίσης να διαβάσετε περισσότερα για τη στρατηγική της ΕΕ για την κυβερνοασφάλεια και τις πολιτικές κυβερνοασφάλειας.

Πόροι για δράσεις μετριασμού: