Five Eyes Alliance の脆弱性警告:Ivanti が反論する永続化の実態とは?

Five Eyes Alliance Warns Of Attacks Exploiting Known Ivanti Gateway Flaws

2024/03/01 SecurityAffairs — Five Eyes Intelligence Alliance が発表したのは、Ivanti Connect Secure/Policy Secure Gateway に存在する、既知の脆弱性を悪用する脅威者について警告する、共同サイバー・セキュリティ勧告である。この勧告には、Connect Secure/Policy Secure の脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用に関する詳細が記載されている。複数の脅威アクターたちが一連の問題を連鎖させ、認証を回避し、悪意のリクエストを作成し、昇格した権限で任意のコマンドを実行している。


また、CISA のアドバイザリによると、Ivanti Integrity Checker Tool は侵害を検知するには不十分だとされている。さらに、政府の専門家たちは、それらの脆弱性の悪用に成功した脅威アクターが、root レベルでの永続性を維持する可能性があるとも報告している。

このアドバイザリには、「以前に特定された Connect Secure/Policy Secure の複数の脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 に対する、脅威アクターたちの悪用について説明する」と記されている。さらに、CISA のアドバイザリでカイセルされる2つの重要な発見は、以下の通りである:

  • Ivanti Integrity Checker Tool に対して、脅威アクターたちが欺く手法を実現しているため、侵害を検知するには十分ではない。
  • Ivanti デバイスを工場出荷時リセットを、被害者が実行しても、脅威アクターたちは root レベルの永続性を獲得する可能性がある。

このアドバイザリには、緩和策と侵害指標 (IOC) が含まれている。また、対象となる脆弱性は、以下の通りとなる:

  • 脆弱性 CVE-2023-46805 (CVSS:8.2):Ivanti ICS 9.x/22.x および Ivanti Policy Secure の Web コンポーネントに存在する認証バイパスの脆弱性である。リモートの攻撃者は、制御チェックをバイパスすることで、この脆弱性を誘発し、アクセスが制限されたリソースに到達する。
  • 脆弱性 CVE-2024-21887 (CVSS:9.1):Ivanti Connect Secure 9.x/22.x および Ivanti Policy Secure の Web コンポーネントにおけるコマンド・インジェクションの脆弱性である。認証された管理者は、特別に細工したリクエストを送信することで、この問題を悪用し、アプライアンス上で任意のコマンドを実行できる。この脆弱性と、前述の CVE-2023-46805 を連鎖させる攻撃者が、パッチ未適用のシステムに対して、特別に細工されたリクエストを送信し、任意のコマンドを実行する可能性が生じる。
  • 脆弱性 CVE-2024-21893:Ivanti Connect Secure 9.x/22.x および、Policy Secure 9.x/22.x 、Neurons for ZTA の SAML コンポーネントにおける、サーバサイド・リクエスト・フォージェリの脆弱性である。この脆弱性の悪用に成功した攻撃者は、アクセスが制限されたリソースに到達する。

Ivanti は、以下の2件の脆弱性にも対処している:

  • CVE-2024-21888 (CVSS:8.8): Web コンポーネントに存在する権限昇格の脆弱性
  • CVE-2024-22024 (CVSS:8.3):SAML コンポーネントに存在する XXE の脆弱性

Ivanti のアドバイザリには、「1:影響を受ける Ivanti VPN アプライアンス内に保存されている、ユーザー/サービスのアカウントの資格情報が、侵害されている可能性が高いことを想定すべきである。2:このアドバイザリ内の、検出方法および侵害指標 (IOC) を使用して、ネットワーク上の悪意のアクティビティを探索すべきである。3:Ivanti の最新の外部 ICT を実行する。4:バージョン更新が利用可能になったら、Ivanti が提供する利用可能なパッチ適用ガイダンスを適用する」と記されている。

さらに同社は、「潜在的な侵害が検出された場合には、悪意のアクティビティに関するログとアーティファクトを収集/分析し、このアドバイザリ内のインシデント対応に関する推奨事項を適用する必要がある」と説明している。

Five Eyes の共同勧告と調査結果に対して Ivanti は、「CISA のラボで観察された技術的な調査結果は、実際のシナリオでは観察されておらず、実際の顧客環境では実行可能とは考えられない。CISA などの政府機関は、2月27日に公開されたばかりの、Ivanti の外部の Integrity Checker Tool (ICT) を利用するよう、防衛側に提案している」と述べている。

同社は、「今日、Ivanti と Mandiant は、当社の顧客に対する最近の攻撃に関する調査の一環として、進化する脅威アクターの TTP (tactics, techniques and procedures) について、調査結果を発表した。この調査結果は、Ivanti Connect Secure/Policy Secure/ZTA Gateway に影響を及ぼす、以前に公開された脆弱性の継続的な分析で特定されたものであり、潜在的な永続化のクニックも含んでいる」と付け加えている。

Ivanti は、「重要なことは、問題とされる CVE は新しいものではなく、セキュリティ・アップデートと工場出荷時へのリセットを実施したアプライアンスにおいて、脅威アクターが永続化に成功した例を、Ivanti/Mandiant/政府が認識していないということだ」と締め括っている。

2024年2月に、立て続けに公表された Ivanti の5件脆弱性ですが、それぞれが繰り返して報道されたので、何が何だが分からないという状況になってしまいました。しかし、今日のニュースでは、5件の脆弱性が列挙され、また、重要性に関するコントラストも示されているので、それなりに整理が進みます。とことが、Five Eyes と Ivanti の見解が衝突するという展開を見せています。まだまだ混沌が続きそうです。よろしければ、Ivanti で検索も、ご利用ください。