CISA Issues Emergency Directive to Federal Agencies on Ivanti Zero-Day Exploits
2024/01/20 TheHackerNews — 2024年1月19日に、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure (ICS)/Ivanti Policy Secure (IPS) 製品に存在し、活発に悪用されている2つのゼロデイ脆弱性に対して緩和策を実施するよう、連邦民間行政機関 (FCEB) に緊急指令を発出した。今回の指令は、これらの脆弱性 (認証バイパスの CVE-2023-46805/コード・インジェクション CVE-2024-21887) が、複数の脅威アクターにより広く悪用されていることを受けて発令された。これらの脆弱性の悪用に成功した攻撃者は、悪意のリクエストを作成して、システム上で任意のコマンド実行が可能になる。
Ivanti はアドバイザリで、脆弱性が公表された 2024年1月11日以降において、脅威アクターの活動が急増していることを認めている。同社は、「これらの脆弱性の悪用に成功した脅威アクターは、横方向に移動して、データ流出の実行/永続的なシステム・アクセスの確立などを行い、標的の情報システムを完全に侵害することが可能になる」と述べている。
Ivanti は来週までに、この脆弱性に対処するアップデートをリリースする予定だというが、影響を受けている製品にインポートして、必要な設定を変更する XML ファイルを、一時的な回避策として提供している。
CISA が、ICS を運用している組織に推奨しているのは、緩和策を適用した上で、外部整合性チェッカーを実行して、侵害の兆候を特定することである。具体的に言うと、侵害の兆候が発見された場合には、ネットワークから対象デバイスを切り離してリセットした後に、XML ファイルをインポートすることだ。
さらに、政府の FCEB 組織に推奨されるのは、保存されている証明書の失効と再発行/管理者有効パスワードのリセット/API キーの保存/ゲートウェイに定義されているローカル・ユーザーのパスワードのリセットなどだ。
サイバー・セキュリティ企業である Volexity と Mandiant は、感染させたアプライアンスに持続的にアクセスするために、この2つの脆弱性を武器化し、ウェブシェルとパッシブ・バックドアを展開する攻撃を観測している。現在までに、世界中で 2,100台ものデバイスが感染したと推定されている。
2023年12月に確認された最初の攻撃の波は、中国由来のグループ UTA0178 に起因している。Mandiant は、このグループの活動を UNC5221 という名で監視しているが、特定のグループや国との関連は確認されていない。
脅威インテリジェンス企業の GreyNoise が確認しているのは、永続的なバックドアや XMRig 暗号通貨マイナーの投下に、これら脆弱性が悪用されていることである。つまり、脅威アクターたちは金銭的利益のため、この脆弱性を悪用していることが示唆されている。
Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887 は、2024年1月10日の時点で、すでに KEV (Known Exploited Vulnerabilities) リストに加えられており、1月22日までに FIX せよという指令が、連邦政府組織に対して出されています。タイミングからして、今回の CISA の警告は、この期限に対する再確認とも受け取れます。かなり、厳しい状況にあるのだろうと推測できます。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.