Ivanti Warns Of A New Actively Exploited Zero-Day
2024/01/31 SecurityAffairs — Ivanti の警告は、Connect Secure/Policy Secure で新たに発見された、2つの脆弱性 CVE-2024-21888 (CVSS:8.8)/CVE-2024-21893 (CVSS:8.2) に関するものである。同社によると、CVE-2024-21893 は、野放し状態で活発に悪用されているという。1つ目の脆弱性 CVE-2024-21888 は、Ivanti Connect Secure (9.x/22.x) /Policy Secure (9.x/22.x) の Web コンポーネントに存在する権限昇格の欠陥であり、悪用に成功した攻撃者は、管理者権限を得る可能性があるという。
2つ目の脆弱性 CVE-2024-21893 は、Connect Secure (9.x/22.x)/Policy Secure (9.x/22.x)/Neurons for ZTA の、SAML コンポーネントにおける、SSRF (Server-Side Request Forgery) の脆弱性である。この脆弱性の悪用に成功した、認証された攻撃者は、特定の制限されたリソースへのアクセスが可能になる。
状況は今も変化し続けており、複数の脅威アクターが、キャンペーンで、これらの脆弱性を悪用するための戦術/技術/手順を急速に導入する可能性があると、Ivanti は警告している。
Ivanti はアドバイザリで、「この情報の公開時点では、CVE-2024-21893 が悪用の標的となっているようだ。1月10日に情報が公開されてから、翌 11日に悪用が急増したのと同様に、この情報が公開された後にも悪用が急増すると、我々は予測している。状況は進展中であるため、我々は、より多くの情報が入手可能になり次第、この記事を更新する予定である」と述べている。
Ivanti が推奨するのは、CVE-2024-21888/CVE-2024-21893 に対処するための一時的な回避策として、ダウンロード・ポータル経由で “mitigation.release.20240126.5.xml” ファイルをインポートすることだ。
同社は 2024年1月初旬に、脅威アクターが Connect Secure (ICS)/Policy Secure の他の2つのゼロデイ脆弱性 (CVE-2023-46805/CVE-2024-21887) を悪用して、標的のゲートウェイ上でリモートから任意のコマンドを実行していると報告している。
1月31日に、上記の脆弱性を悪用して脅威アクターが配信した KrustyLoader という Rust マルウェアの技術解析が、サイバーセキュリティ企業 Synacktiv の研究者から発表されている。
2024年に入ってから、脆弱性と悪用への対応に大忙しの Ivanti ですが、また、新たな脆弱性 CVE-2024-21888/CVE-2024-21893 が発生とのことです。そして、CVE-2024-21893 の方は、すでに活発な悪用が観測されているようなので、注意が必要です。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.