CISA: Critical Ivanti auth bypass bug now actively exploited
2024/01/18 BleepingComputer — CISA は、Ivanti の Endpoint Manager Mobile (EPMM) および MobileIron Core デバイス管理ソフトウェアに存在する、深刻な認証バイパスの脆弱性が、いまも積極的に悪用されていると警告している。この、2023年8月にパッチ適用済の脆弱性 CVE-2023-35082 は、認証を必要としないリモートからの API アクセスの脆弱性であり、EPM 11.10/11.9/11.8 および MobileIron Core 11.7 以下の、すべてのバージョンに影響を及ぼすものだ。
この脆弱性の悪用に成功した攻撃者は、モバイル・デバイス・ユーザー個人を特定する情報 (PII) にアクセス可能となり、欠陥などと連鎖させることで、侵害したサーバにバックドアを仕掛ける可能性を得る。
2023年8月に Ivanti は、「現在点において、RPM スクリプトを提供している。ユーザーに対して推奨されるのは、サポートされているバージョンへのアップグレード後に、RPM スクリプトを適用することである。より詳細な情報については、Ivanti Community ポータルのナレッジベースの記事を参照してほしい」と述べている。
この脆弱性を発見/報告したサイバー・セキュリティ企業 Rapid7 は、CVE-2023-35082 攻撃の兆候を、管理者が検出する際に役立つ IOC (indicator of compromise) を提供している。
また、Shodan によると、6,300 の Ivanti EPMM ユーザー・ポータルが、現時点ではオンラインで公開されているとのことだ。Shadowserver 脅威監視プラットフォームは、3,420 の EPMM アプライアンスをインターネットで追跡している。
Shodan のデータによると、世界中の政府機関にリンクされている 150以上のインスタンスが、インターネット経由でダイレクトにアクセスできることが判明している。
脆弱性 CVE-2023-35082 の積極的な悪用については、詳細を明らかにしていないが、CISA は悪用の証拠に基づき KEV (Known Exploited Vulnerabilities) カタログに追加している。ただし、ランサムウェア攻撃で悪用されている証拠はないとしている。
CISA は、3年前に発行された拘束力のある運用指令 (BOD 22-01) で義務付けられている通り、2月2日までにパッチを当てるよう米連邦政府機関に命じている。その一方で Ivanti は、2023年8月のアドバイザリを更新していない。つまり、この脆弱性を脅威アクターたちが悪用していることを、警告するための通知を出していない。
なお、Ivanti Connect Secure (ICS) の別の2つのゼロデイ脆弱性である、認証バイパス (CVE-2023-46805) とコマンド・インジェクション (CVE-2024-21887) も、2024年1月11日移行において、複数の脅威グループにより悪用されている。
これまでの被害者は、中小企業から Fortune 500 の大手企業にいたるまでと幅広い。すでに攻撃者は、GIFTEDVISITOR Web シェル亜種を使用して、1,700台以上の ICS VPN アプライアンスをバックドア化しているという。
近年において悪用された、Ivantti のゼロデイ脆弱性としては、CVE-2021-22893/CVE-2023-35078/CVE-2023-35081/CVE-2023-38035 などがあり、米国/欧州の数十の政府/防衛/金融などの組織と、ノルウェーの政府組織を標的として侵入している。
文中にもあるように、Ivanti の別の脆弱性 CVE-2023-46805/CVE-2024-21887 が、かなり深刻な状況にあります。対応に忙しい同社にとって、脆弱性 CVE-2023-35082 の悪用は、新たな頭痛のタネになりそうです。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.