CISA Adds Ivanti And Microsoft Sharepoint Bugs To Its Known Exploited Vulnerabilities Catalog
2024/01/11 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure および Policy Secure の脆弱性 CVE-2024-21887/CVE-2023-46805 と、Microsoft SharePoint Server の脆弱性 CVE-2023-29357 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Iventi Connect Secure (ICS) と Policy Secure の2 つのゼロデイ脆弱性 CVE-2023-46805/CVE-2024-21887 が悪用され、標的のゲートウェイ上でリモートから任意のコマンドが実行されていると、同社が報告している。
脆弱性 CVE-2023-46805 (CVSS:8.2) は、Ivanti Connect Secure (ICS) 9.x/22.x および Ivanti Policy Secure の Web コンポーネントに存在する、認証バイパスの問題である。この脆弱性の悪用に成功したリモートの攻撃者は、制御チェックをバイパスし、制限されたリソースにアクセスできる。
2つ目の脆弱性 CVE-2024-21887 (CVSS:9.1) は、ICS 9.x/22.x および Ivanti Policy Secure の Web コンポーネントに存在するコマンド・インジェクションの脆弱性である。特別に細工したリクエストを送信することで、この脆弱性の悪用に成功した認証済の管理者は、対象となるアプライアンス上で任意のコマンドを実行できる。
さらに、この2つの脆弱性の連鎖に成功した攻撃者は、特別に細工したリクエストをパッチの未適用のシステムに送信し、任意のコマンドを実行できるという。
Ivanti は、「脆弱性 CVE-2024-21887 と CVE-2023-46805 が併用された場合には、認証が不要となるため、悪意のリクエストを作成すことで、システム上で任意のコマンドを実行できる」と述べている。
同社は、緩和策を提供しており、セキュリティ・パッチの開発にも取り組んでいることを明らかにしている。最終的なパッチは、2月19日ころに提供される予定だという。
Volexity の研究者たちは、この2つのゼロデイを、脅威アクターたちが積極的に悪用していることを確認している。2023年12月に Volexity は、この脆弱性を悪用する脅威アクターたちが、複数の内部/外部向け Web サーバにウェブシェルを展開していることを検知した。
今回、CISA KEV カタログに追加された3番目の問題は、Microsoft SharePoint Server の特権昇格の脆弱性 CVE-2023-29357 である。
なりすましの JWT 認証トークンにアクセスした未認証の攻撃者は、この脆弱性を悪用することでネットワーク攻撃を実行できる。この攻撃では、認証がバイパスされ、管理者権限を攻撃者に奪われるという。
BOD (Binding Operational Directive) 22-01によると、既知の脆弱性を悪用した攻撃からネットワークを守るため、FCEB 機関は期日までに、指摘された脆弱性に対処しなければならない。今回、CISA は連邦政府機関に対して、2024年1月31日までに、この脆弱性を修正するよう命じている。
なお、専門家たちは、民間組織もカタログを見直し、インフラの脆弱性に対処することを推奨している。
Ivanti の脆弱性 CVE-2024-21887/CVE-2023-46805 に関しては、2024/01/10 の「Ivanti が警告:脆弱性 CVE-2023-46805/CVE-2024-21887 の連鎖が生み出す最悪の事態」を、ご参照ください。また、SharePoint の脆弱性 CVE-2023-29357 ですが、調べてみたら 2023年6月の Patch Tuesday で触れられていました。どちらも、心配な脆弱性ですね。
IoT OT Security News 
You must be logged in to post a comment.