CISA で発生したデータ侵害:Ivanti 製品の脆弱性が悪用された

Ivanti Breach Prompts CISA to Take Systems Offline

2024/03/12 DarkReading — Ivanti 製品の脆弱性を悪用したハッカーが、2月に米国の CISA (Cybersecurity and Infrastructure Security Agency) のシステムに侵入していたことが分かった。CISA の広報担当者は、約1か月前に、同機関が使用している2つの Ivanti 製品で不審な活動が確認されていたことを認めている。これらのシステムは、直ちにオフラインにされたが、この侵入が誰によるものなのか、データへのアクセスや盗難があったのかどうかは不明だという。


オフラインにされた2つのシステムは、Infrastructure Protection Gateway と Chemical Security Assessment Tool (CSAT) であったと推測されるが、それについて CISA は肯定も否定もしていない。

CISA は、さまざまな組織に対して、同機関が2月下旬に発表した3つの Ivanti の脆弱性に関するアドバイザリを確認するよう推奨している。対象となる脆弱性は、Ivanti Connect Secure (ICT) および Ivanti Policy Secure ゲートウェイに存在する、脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 である。

さらに CISA は、このインシデント・レスポンスにおいて、Ivanti ICT が侵害を検知できなかったことを報告している。検知の回避に成功したハッカーは、これらの Ivanti デバイスの認証情報を盗み、場合によっては、完全なドメイン侵害へのアクセスさえ可能な状況にあった。いくつかの主要なサイバー・セキュリティ機関は、これらのゲートウェイ・ツールは企業環境にリスクをもたらすため、全ての組織は警戒する必要があると促している。

CISA は、「現時点において、業務への影響はない。しかし、どのような組織であっても、サイバー脆弱性の影響を受ける可能性があり、インシデント対応計画を持つことが、レジリエンスにおいて必要な要素であることを思い起こさせる」と報告している。