CISA vraagt ​​Amerikaanse federale instanties om verouderde routers en firewallapparatuur buiten gebruik te stellen

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft onlangs een nieuwe ronde van verplichte cyberbeveiligingsrichtlijnen uitgevaardigd, die alle federale civiele instanties verplicht om randnetwerkapparatuur en -software die de ondersteuning van leveranciers niet langer ondersteunen uitgebreid te onderzoeken en te verwijderen, inclusief verouderde routers, firewalls, VPN-gateways en switches. Regelgevende autoriteiten benadrukten dat dergelijke ‘end-of-life’ edge-apparaten een van de belangrijkste ingangen zijn geworden voor hackers op staatsniveau om overheidsnetwerken binnen te dringen en binnen een beperkte tijd moeten worden hersteld.

Het document, getiteld ‘Binding Operational Directive 26-02’, werd gezamenlijk uitgegeven door CISA en het Office of Management and Budget van het Witte Huis. Het is bedoeld om een ​​prominente al lang bestaande zwakte in het federale IT-systeem aan te pakken: verouderde, niet-gepatchte netwerkperimeterinfrastructuur. CISA merkt op dat tegenstanders bij veel aanvallen niet afhankelijk zijn van gestolen inloggegevens of phishing-e-mails, maar eerst zoeken naar oudere routers en firewalls die al jaren niet meer zijn bijgewerkt en niet langer worden onderhouden om voet aan de grond te krijgen in overheidsnetwerken.

Volgens de nieuwe richtlijn zijn federale instanties verplicht om apparaten die nog binnen de ondersteuningscyclus van de fabrikant vallen onmiddellijk bij te werken, en moeten ze alle apparaten waarvan de ondersteuning is beëindigd binnen twaalf maanden vervangen. Binnen drie maanden na de ingangsdatum van de richtlijn moeten instanties een volledige inventaris van alle edge-apparaten invullen en aangeven welke de ondersteuningsperiode van de fabrikant hebben overschreden. In het daaropvolgende jaar moeten de relevante instanties deze "end-of-service"-apparatuur stap voor stap buiten gebruik stellen en tegelijkertijd vervangingsplannen ontwikkelen om te voorkomen dat de nieuwe partij apparatuur op korte termijn opnieuw in de toestand buiten de garantie terechtkomt.

De richtlijn stelt verder een deadline van 18 maanden waarbinnen alle niet-ondersteunde apparaten volledig uit federale overheidsnetwerken moeten zijn verwijderd. Om een ​​“heropleving” te voorkomen, vereist het document ook dat agentschappen een continu trackingmechanisme opzetten om ervoor te zorgen dat verouderde apparatuur na het schoonmaken niet stilletjes opnieuw wordt aangesloten op de netwerkomgeving.

Madhu Gottumukkala, waarnemend directeur van CISA, zei dat de stap zowel ‘te laat’ als ‘onvermijdelijk’ was. CISA houdt al jaren in de gaten hoe aanvallers netwerkapparaten die geen beveiligingsupdates meer ontvangen, misbruiken om overheidssystemen te doorbreken die al over moderne eindpuntbeveiliging beschikken. Nick Andersen, uitvoerend assistent-directeur voor cyberbeveiliging bij CISA, wees er ook op dat zowel door de staat gesponsorde hackerorganisaties als op winst gerichte aanvalsgroepen zich steeds vaker op dergelijke oude apparatuur richten en kwetsbaarheden in verouderde firmware misbruiken om binnen te dringen. Als ze eenmaal succesvol zijn, kunnen ze zich lateraal over het netwerk verplaatsen, gegevens stelen of kritieke bedrijfsactiviteiten verstoren.

De Known Exploited Vulnerabilities-directory die door CISA wordt onderhouden, heeft meerdere aanvallen gedocumenteerd die verband houden met stopgezette netwerkapparatuur, waaronder een kwetsbaarheid met betrekking tot stopgezette D-Link-routers die in december werd onthuld. Het bureau haalde ook een natiestaataanval uit 2025 aan die werd toegeschreven aan China, waarbij op grote schaal gebruik werd gemaakt van oudere netwerkapparatuur om cyberspionage uit te voeren.

Hoewel de richtlijn verplicht is voor federale civiele instanties, legt zij geen directe financiële of juridische sancties op. CISA en het Office of Management and Budget zullen druk uitoefenen door het bijhouden van de voortgang en het openbaar rapporteren van prestaties, maar in de praktijk zullen agentschappen dergelijke ‘gebundelde operationele richtlijnen’ vaak uitvoeren als veiligheidstaken met hoge prioriteit.

Ter ondersteuning van implementatie-inspanningen heeft CISA een interne ‘End of Service Edge Device List’ opgesteld met apparaatmodellen die vaak voorkomen in federale omgevingen en die de ondersteuningslevensduur van de fabrikant naderen of overschrijden. Om veiligheidsredenen wordt deze lijst niet openbaar gemaakt om te voorkomen dat potentiële aanvallers gerichte aanwijzingen krijgen. Voor instanties buiten het federale administratieve systeem (waaronder staats- en lokale overheden en particuliere bedrijven) raadt CISA aan dat zij proactief communiceren met fabrikanten van apparatuur om inzicht te krijgen in de ondersteuningscycli en de risicostatus van de apparatuur die zij gebruiken.