Ivanti が警告:脆弱性 CVE-2023-46805/CVE-2024-21887 の連鎖が生み出す最悪の事態

Ivanti warns of Connect Secure zero-days exploited in attacks

2024/01/10 BleepingComputer — Ivanti の Connect Secure (ICS) および Policy Secure に存在する2つのゼロデイ脆弱性が公表されたが、それらを組み合わせるリモートの攻撃者により、標的のゲートウェイ上で任意のコマンド実行が可能になることが判明している。1つ目の脆弱性 CVE-2023-46805 は、ゲートウェイの Web コンポーネントにおける認証バイパスであり、制御チェックを回避する攻撃者に対して、制限されたリソースへのアクセスを許すものである。そして、2つ目の脆弱性 CVE-2024-21887 は、コマンド・インジェクションを許すものである。 したがって、認証された管理者が、特別に作成されたリクエストを送信することで、脆弱なアプライアンス上での任意のコマンド実行が可能になるという。

Mandiant と Volexity により報告された、この2つのゼロデイの連鎖に成功した攻撃者は、影響を受ける製品の全てのバージョン上で、任意のコマンド実行を可能にすることが明らかになっている。

Ivanti は、「脆弱性 CVE-2024-21887 が、CVE-2023-46805と併用された場合においては、認証を必要としない悪用が可能となる。したがって、悪意のリクエストを作成することで、対象となるシステム上で任意のコマンド実行が可能になる。当社では、顧客の利益を最優先するために、パッチの開発と並行して、緩和策を提供している。ユーザーの完全な保護のためには、直ちに対策を講じることが重要となる」と述べている。

同社によると、それぞれのパッチは、時期をずらして提供される予定であり、最初のバージョンは 1月22日の週に、最終のバージョンは 2月19日の週に、顧客に対して提供されるとのことだ。

なお、パッチが提供されるまでの間は、Ivanti のダウンロード・ポータルを介して提供される、mitigation.release.20240107.1.xml ファイルをインポートすることで、ゼロデイを緩和できるという。

攻撃に悪用されたゼロデイ

Ivanti によると、この2つのゼロデイは、少数の顧客を狙った攻撃で、すでに悪用されているという。

このゼロデイ脆弱性の悪用を、2023年12月の時点で発見した、脅威インテリジェンス企業 Volexity は、中国に支援される脅威アクターからの攻撃だと捉えている。

https://twitter.com/Volexity/status/1745158750472728666


Volexity は、「脆弱性の影響を受けている顧客は、10社未満である。ただし、それらの顧客について、詳細を話すことはできない。私たちが確認しているのは、脅威アクターが Ivanti の Internal Integrity Checker を操作しようとした証拠である。慎重を期して、すべての顧客に対して、外部の ICT の実行を推奨している。私たち分析をベースにすると、この脆弱性が悪意を持って、コード開発プロセスに取り込まれたという兆候を、Ivanti は発見していない。つまり、Ivanti は、侵害されたという兆候を持っていない」と述べている。

Shodan が報じたように、セキュリティ専門家 Kevin Beaumont が共有した情報によると、現時点において 15,000 以上の Connect Secure (ICS) と Policy Secure ゲートウェイが、ネット上に露出しているという。

Internet-exposed Connect Secure and Policy Secure gateways
Internet-exposed Connect Secure and Policy Secure gateways (Shodan)

さらに Beaumont は、この2つのゼロデイが攻撃に使用され、MFA バイパスとコード実行が可能になっていると、今日の未明に警告している。

先週に Ivanti は、Endpoint Management (EPM) ソフトウェアに存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2023-39336 について公表している。この脆弱性の悪用に成功した未認証の攻撃者により、登録されたデバイスやコアサーバが乗っ取られる可能性があるとしている。

また、2023年7月には、Ivanti の Endpoint Manager Mobile (EPMM) の2つのゼロデイ CVE-2023-35078/CVE-2023-35081 を悪用する APT が、ノルウェー政府組織の複数のネットワークに侵入した。その1カ月後の8月にハッカーたちは、Ivanti の 3つ目のゼロデイ欠陥 CVE-2023-38035 を悪用し、脆弱なデバイスの API 認証をバイパスしている。

Ivanti の製品は、世界の 40,000社以上の企業において、IT 資産やシステムの管理に使用されている。

Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887 の連鎖が、任意のコマンド実行を引き起こすことが判明しました。一言で言って、最悪の事態であり、さまざまな組織/メディアが大きく取り上げています。Ivanti に関する直近の記事としては、2024/01/04 の「Ivanti EPM の脆弱性 CVE-2023-39336 が FIX:登録デバイスの乗っ取りにいたる」があります。よろしければ、Ivanti で検索と併せて、ご参照ください。