Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat eine neue Binding Operational Directive (BOD) herausgegeben und zivile Bundesbehörden angewiesen, den Zugriff aus dem Internet auf die Verwaltungsschnittstellen von Netzwerkgeräten zu beschränken. Das berichtet das US-Portal Augenauf.blog.
Die neue BOD 23-02 gilt für Router, Switches, Firewalls, VPN-Server, Proxys, Load Balancer und Out-of-Band-Server-Management-Schnittstellen wie iLo und iDRAC. Sie gilt für Verwaltungsschnittstellen, die auf einer Vielzahl von Protokollen gehostet werden, von HTTPS bis SSH, SMB, RDP und anderen.
Die Bundesbehörden haben 14 Tage Zeit, um die Verwaltungsschnittstellen dieser Geräte aus dem Internet zu nehmen und sie nur über interne Netzwerke zugänglich zu machen. Das BOD gilt für alle bestehenden Geräte, für neue Geräte, die in Zukunft zu den Bundesnetzen hinzugefügt werden, und für Systeme, die von Behörden und/oder Auftragnehmern gehostet werden.