Federale Amerikaanse overheidsinstanties werden twee weken geleden verplicht om interfaces van routers, switches, firewalls, vpn's, loadbalancers en proxies die vanaf internet benaderbaar zijn offline te halen, maar nog altijd zijn honderden webinterfaces online, aldus securitybedrijf Censys. Het bevel dat eerder deze maand werd gegeven is afkomstig van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Dat stelt dat aanvallers steeds vaker via verkeerd geconfigureerde netwerkapparaten organisaties weten te compromitteren.

De afgelopen maanden zijn in netwerkapparatuur allerlei kwetsbaarheden gevonden die bijvoorbeeld via de beheerinterface zijn te misbruiken. Ook komt het voor dat de apparaten verkeerd zijn geconfigureerd of op andere wijze slecht zijn beveiligd. "Het risico wordt verder vergroot als beheerinterfaces direct vanaf het publieke internet benaderbaar zijn. De meeste beheerinterfaces zijn ontwikkeld om vanaf aparte fysieke interfaces of managementnetwerken te worden benaderd en zouden niet vanaf het publieke internet benaderbaar moeten zijn", aldus het CISA.

Het CISA heeft de mogelijkheid om federale overheidsinstanties via een "Binding Operational Directive" tot het uitvoeren van bepaalde acties te verplichten. De nieuwste Binding Operational Directive, met het nummer "23-02", heeft als doel om de risico's van "internet exposed management interfaces" weg te nemen. Het gaat dan om beheerinterfaces voor routers, switches, firewalls, vpn-servers, proxies, load balancers en out of band server management interfaces, zoals iLo en iDRAC.

Als voorbeeld noemt het CISA interfaces die via http, https, ftp, snmp, telnet, tftp, rdp, rlogin, rsh, ssh, smb en vnc toegankelijk zijn. In het geval het CISA of ander agentschap een overheidsinstantie over dergelijke interfaces inlicht, krijgen die veertien dagen de tijd om de interface offline te halen, zodat die alleen via een intern enterprise netwerk toegankelijk is, waarbij het CISA aanraadt een apart beheernetwerk te gebruiken.

Inmiddels zijn de twee weken verstreken, maar blijken honderden interfaces nog altijd vanaf internet benaderbaar te zijn. Zo werden vijftien systemen door Censys gevonden die via FTP, SMB, NetBIOS en SNMP benaderbaar zijn. Bijna 250 systemen draaiden remote access protocollen zoals SSH en Telnet. Het gaat onder andere om routers, firewalls en vpn-servers. Verder werden 150 federale overheidssystemen aangetroffen waarop end-of-life software draait, waaronder Microsoft IIS, OpenSSL en Exim. Het CISA heeft aangegeven dat het ook zelf op interfaces gaat scannen, om vervolgens de instantie in kwestie te informeren dat er maatregelen genomen moeten worden.