Experts Warn Of A Surge Of Attacks Targeting Ivanti SSRF Flaw
2024/02/05 SecurityAffairs — Ivanti の SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-21893 が、最近のサイバー攻撃で、さまざまな脅威アクターにより活発に悪用されている。1月31日に Ivanti が発した警告は、同社の Connect Secure/Policy Secure ソリューションに、それぞれ2つの新たな深刻な脆弱性 CVE-2024-21888 (CVSS:8.8)/CVE-2024-21893 (CVSS:8.2) が存在するというものだ。同社によると、CVE-2024-21893 は、野放し状態で活発に悪用されているという。
脆弱性 CVE-2024-21893 は、Connect Secure (9.x/22.x)/Policy Secure (9.x/22.x)/Neurons for ZTA の、SAML コンポーネントにおける、SSRF (Server-Side Request Forgery) の脆弱性である。この脆弱性の悪用に成功した、認証された攻撃者は、特定の制限されたリソースへのアクセスが可能になる。
いまも状況は変化し続けており、複数の脅威アクターたちのキャンペーンにおいて、これらの脆弱性を悪用する TTP (Tactics, Techniques, and Procedures) が、急速に取り入れられる可能性があると、Ivanti は警告している。
Ivanti はアドバイザリで、「この情報の公開時点では、CVE-2024-21893 が悪用の標的となっているようだ。1月10日に情報が公開されてから、翌 11日に悪用が急増したのと同様に、この情報が公開された後にも悪用が急増すると、我々は予測している。いまも状況は進展中であるため、より多くの情報が入手可能になり次第、この記事を更新する予定である」と述べている。
Ivanti が推奨するのは、CVE-2024-21888/CVE-2024-21893 に対処するための一時的な回避策として、ダウンロード・ポータル経由で “mitigation.release.20240126.5.xml” ファイルをインポートすることだ。
2024年2月2日に、この脆弱性の PoC エクスプロイト/技術的分析が、Rapid7 の研究者たちにより発表された。PoC エクスプロイト・コードが利用可能になったということは、インターネットに面したインストールに対して、脅威アクターによる攻撃の可能性が高まるということだ。
この脆弱性 CVE-2024-21893 は、複数の脅威アクターによる悪用が確認されているが、Rapid7 の PoC コードが公開される数時間前から、それらの攻撃は始まっていたと、Shadowserver の研究者たちは指摘している。
Shadowserver が観測した攻撃には、数百の異なる IP アドレスが関与していた。
2024年2月1日に CISA は、設立以来初めての 48時間以内という制限の中で、Ivanti Connect Secure/Policy Secure 製品の全インスタンスを切断するよう、連邦政府機関に命じている。
Ivanti の脆弱性 CVE-2024-21888/CVE-2024-21893 ですが、攻撃が急増しているとのことなので、ご注意ください。前回の Ivanti 関連の記事は、2023/02/01 の「Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複」であり、脆弱性 CVE-2023-46805/CVE-2024-21887 の悪用に関するものでした。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.