Ivanti fixes critical Standalone Sentry bug reported by NATO
2024/03/20 BleepingComputer — Ivanti は、Standalone Sentry の深刻な脆弱性 CVE-2023-41724 に対して、直ちにパッチを当てるよう顧客に警告している。この脆弱性は、NATO Cyber Security Centre の研究者たちにより報告されたものだ。ユーザー組織の Kerberos Key Distribution Center Proxy (KKDCP) サーバ、または、ActiveSync 対応の Exchange/Sharepoint サーバのゲートキーパーとして、Standalone Sentry は配備されている。
この脆弱性 CVE-2023-41724 は、サポートされている、すべての Standalone Sentry バージョンに影響を及ぼし、物理的/論理的ネットワーク内の未認証の脅威アクターに対して、複雑度の低い攻撃の条件を提供し、任意のコマンド実行へといたるものである。
さらに Ivanti は、2つ目の脆弱性として、IT サービス管理ソリューション Neurons for ITSM の CVE-2023-46808 を修正した。この脆弱性は、低権限のアカウントにアクセスできるリモートの脅威アクターに対して、Web アプリケーション・ユーザーのコンテキストで、コマンド実行を許すものである。
すでに、すべての Ivanti Neurons for ITSMク ラウド・ランドスケープに対してパッチが適用されているが、オンプレミスに導入されている場合には、潜在的な攻撃に対する脆弱性が残っている。
Ivanti は、「これらの2件の脆弱性について、悪用されたといえる証拠はない。現時点において、標準のダウンロード・ポータルからパッチが入手できる。当社として顧客に強く推奨するのは、完全に保護されていることを確認するための、素早い行動である」と述べている。この脆弱性を悪用されたという顧客は、公表の時点において確認されていない。
攻撃を受ける Ivanti デバイス
今年に入ってから、国家に支援される脅威アクターたちが、複数の Ivanti 脆弱性 (CVE-2023-46805/CVE-2024-21887/CVE-2024-22024/CVE-2024-21893) を、ゼロデイとして悪用してきた。その後においては、経済的な同期を持つ脅威アクターたちも、これらの脆弱性を大規模に悪用し、さまざまなカスタム・マルウェアを展開している。
2024年2月の時点では、13,000台以上の Ivanti Connect Secure/Policy Secure エンドポイントが、上記のバグを狙う攻撃に対して、脆弱な状態であった。
その1ヶ月前に CISA は、今年に入って最初の緊急指令を連邦政府機関に対して発出し、Ivanti Connect Secure/Policy Secure システムにおける、広範な攻撃で狙われているゼロデイ脆弱性を、直ちに保護するよう命じている。
さらに CISA は、その2週間後に緊急指令を修正し、脆弱性のある全ての Ivanti VPN アプライアンスを切断し、パッチを適用したソフトウェアで再構築した後にオンラインに戻すよう、それぞれの政府機関に対して命じている。
3年前のことだが、いくつかの中国の APT と思われる脅威グループが、Ivanti Connect Secure のゼロデイ脆弱性 CVE-2021-22893 を悪用し、欧州と米国の数十の政府/防衛/金融の組織に侵入している。
Ivanti の脆弱性を、さまざまな脅威アクターが攻撃しているという状況が、今年に入ってから続いています。その Ivanti に、また、新たな脆弱性 CVE-2023-41724 が発見されました。武器化される前に、迅速に事態が収集すると良いですね。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.