CISA が異例の通達：Ivanti の疑わしいインスタンスを 48時間以内に隔離せよ

CISA Sets 48-hour Deadline for Removal of Insecure Ivanti Products

2024/02/01 SecurityWeek — 米国政府のサイバーセキュリティ機関 CISA は連邦政府機関に対して、Ivanti Connect Secure／Policy Secure の全製品のインスタンスを、48時間以内に切断せよという、前例のない要求を通達している。CISA は、「可能な限り早急に、また、遅くとも 2024年2月2日 (金) の午後11時59分までに、Ivanti Connect Secure／Policy Secure ソリューションの全インスタンスを、政府機関のネットワークから切断せよ」と、新たな緊急指令において圧力を強めている。防御側にとって必要とされるのは、実環境で積極的に悪用されている、少なくとも３件の Ivanti セキュリティ欠陥を軽減することである。

CISA は連邦民間行政機関 (FCEB) に対して、「影響を受ける Ivanti デバイスに接続されている全システムまたは、最近まで接続されていた全システムで、脅威調査を継続し、暴露される可能性のある認証／ID 管理サービスを監視すべきである」と求めている。

また、可能な限り 48時間以内に、連邦政府のネットワーク管理者は、問題のシステムをあらゆるエンタープライズ・リソースから隔離し、特権レベルのアクセス・アカウントの監査を継続する必要があるとしている。

CISA は、「当該製品を再び使用する際には、デバイスのコンフィグレーションをエクスポートし、Ivanti の指示に従い工場出荷時の状態にリセットし、デバイスを再構築し、完全にパッチが適用されたバージョンにアップグレードする必要がある」と述べている。

Ivanti は、自社のパッチ提供スケジュールの実施に苦労していたが、1月31日 (水) に修正パッチを時差スケジュールで提供し始め、また、企業向け VPN アプライアンスにおいて、新たな２件のセキュリティ欠陥が発見されたと公表している。

Ivanti は、全体で４件の問題を文書化している：

CVE-2023-46805：Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure の Web コンポーネントに、認証バイパスの脆弱性が存在する。リモートの攻撃者が制御チェックをバイパスし、制限されたリソースにアクセスする可能性がある。CVSS 値は 8.2であり、ゼロデイとしての悪を確認済み。

CVE-2024-21887 – Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure の Web コンポーネントに、コマンド・インジェクションの脆弱性が存在する。認証された悪意の管理者が、特別に細工されたリクエストを送信し、アプライアンス上で任意のコマンドを実行することが可能となる。この脆弱性は、インターネット経由で悪用される可能性があり、CVSS 値は 9 .1で、悪用を確認済み。

CVE-2024-21888：Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure (9.x, 22.x) の Web コンポーネントに、権限昇格の脆弱性が存在する。特定のユーザーが、管理者権限を不正に取得する可能性がある。CVSS 値は 8.8。

CVE-2024-21893：Ivanti Connect Secure (9.x, 22.x) および、Ivanti Policy Secure (9.x, 22.x)、Ivanti Neurons for ZTA の SAML コンポーネントには、サーバサイド・リクエスト・フォージェリの脆弱性が存在する。攻撃者は認証を必要とせずに、特定の制限されたリソースにアクセスすることが可能となる。CVSS 値は 8.2で、標的型攻撃を確認済み。

これらの脆弱性の悪用を３週間前に発見した Volexity は、中国政府に支援された APT ハッキング・チームが米国の組織に侵入するために、悪用チェーンを構築していると警告した。

Mandiant のマルウェア・ハンターたちは、「自動化された手法による、広範な悪用活動を確認している。中国由来のハッカーたちは、2023年12月3日の時点において、これらのバグを攻撃していた」と報告している。

SecurityWeek の情報筋によると、複数のサイバー犯罪者グループが、クリプトマイナーやバックドアを展開するために、公開された暴露情報に飛びついているという。

CISA の脆弱性警告である KEV の場合は、通常では３週間以内にパッチを適用せよというものです。昨年の秋ごろから、たまに１週間の猶予というケースも有りましたが、KEV 外の緊急対応とだとしても、48時間というのは異例です。それだけ、事態が逼迫していて、一連の脆弱性を悪用しようとする APT との時間の戦いになっているのだろうと推測されます。よろしければ、Ivanti で検索も、ご利用ください。