Ivanti warns critical EPM bug lets hackers hijack enrolled devices
2024/01/04 BleepingComputer — Ivanti の EPM (Endpoint Management Software) に存在する、深刻なリモートコード実行 (RCE) の脆弱性が修正された。この脆弱性が、未認証の攻撃者に悪用されると、登録されたデバイスまたはコアサーバの乗っ取りの可能性が生じる。Ivanti EPM は、Windows/macOS/Chrome OS から、IoT オペレーティング・システムにいたるまでの、幅広いプラットフォームで実行される、クライアント・デバイスの管理を支援するものだ。
この脆弱性 CVE-2023-39336 は、サポートの対象となる全ての Ivanti EPM バージョンに影響を及ぼすが、バージョン 2022 Service Update 5 で解決されている。ターゲットの内部ネットワークにアクセスできる脅威アクターは、特権やユーザー操作を必要とせずに、低複雑度の攻撃で脆弱性 CVE-2023-39336 を悪用できる。
Ivanti は、「この脆弱性の悪用に成功した、内部ネットワークにアクセス可能な攻撃者は、不特定の SQL インジェクションを利用して、認証を必要とせずに任意の SQL クエリを実行し、出力を取得できる。それにより攻撃者は、EPM エージェントを実行しているマシンをコントロールできるようになる。対象となるコアサーバが、SQL express を使用するように設定されている場合には、そのコアサーバ上での RCE につながる可能性がある」と述べている。
Ivanti によると、同社の顧客が、脆弱性 CVE-2023-39336 を悪用する攻撃を受けたという証拠はないという。現時点において Ivanti は、アドバイザリでの CVE-2023-39336 の全詳細の公開をブロックしている。その理由は、脅威アクターが追加情報を悪用してエクスプロイトを作成する前に、顧客によるデバイス保護が完了するための、時間を確保するためと思われる。
悪用されるゼロデイ
2023年7月に、国家に支援されるハッカーが、Ivanti の EPMM (Endpoint Manager Mobile:旧 MobileIron Core) に存在する2つのゼロデイ欠陥 CVE-2023-35078/CVE-2023-35081 を利用して、ノルウェー政府組織の複数のネットワークに侵入した。
米国の CISA は、「MDM (Mobile device management) システムは、何千台ものモバイル・デバイスへの高度なアクセスを提供するため、脅威アクターにとって魅力的な標的である。したがって、APT 脅威アクターたちは、以前から MobileIron の脆弱性を悪用している。その結果として、CISA と NCSC-NO は、政府機関や民間企業のネットワークで悪用が広まる可能性を懸念している」と、注意を促している。
その時には、Ivanti の Sentry ソフトウェア (旧 MobileIron Sentry) に存在する、3つ目のゼロデイ脆弱性 CVE-2023-38035 は、1ヶ月後の攻撃で悪用されていた。
さらに Ivanti は、2023年8月と 12月に、Ivanti Avalanche EMDM (Enterprise Mobile Device Management) に存在する 10件以上の深刻な脆弱性にパッチを適用している。IT 資産とシステムを管理する Ivanti の製品は、 世界の 40,000 社以上の企業に利用されている。
秋から冬へとかけて、Ivanti に脆弱性が発生しています。具体的に言うと、2023/11/14 の「Ivanti EPMM の脆弱性 CVE-2023-39335/CVE-2023-39337:なりすましや証明書窃取の可能性」と、2023/12/20 の「Ivanti Avalanche の深刻な脆弱性 13件が FIX:RCE などにいたる恐れ」となります。脅威アクターたちの標的になりやすいベンダーだけに、脆弱性の発生は心配事になります。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.