Ivanti fixes VPN gateway vulnerability allowing RCE, DoS attacks
2024/04/03 BleepingComputer — IT セキュリティ・ソフトウェア企業 Ivanti がリリースしたのは、同社の Connect Secure/Policy Secure ゲートウェイに影響を及ぼす、複数のセキュリティ脆弱性を修正するためのパッチである。脆弱性 CVE-2024-21894 の悪用に成功した未認証の脅威アクターは、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモート・コードの実行やサービス拒否状態を、パッチを適用していないアプライアンス上で引き起こす可能性を得る。
この、深刻度の高い脆弱性 CVE-2024-21894 は、有効なサポート期限を持つ、すべてのゲートウェイ・バージョンの IPSec コンポーネントに存在する、ヒープバッファ・オーバーフローの欠陥に起因する。
Ivanti は、リモート・コード実行のリスクは、特定の条件下に限定されるとしているが、脆弱なコンフィグレーションの詳細については明らかにしていない。さらに同社は、「この情報の公開時点では、今回の脆弱性が悪用されたケースは認識していない」と付け加えている。
同日に Ivanti は、Connect Secure/Policy Secure に影響を及ぼし、未認証の脅威アクターに悪用される可能性のある、3つの脆弱性に対してのパッチを提供した。それらが悪用されると、DoS 攻撃にいたる恐れがあるという:
- CVE-2024-22052:IPSec コンポーネントにおけるヌル・ポインタ再参照の脆弱性。
- CVE-2024-22053:IPSec コンポーネントにおける、ヒープバッファオーバーフローの脆弱性。
- CVE-2024-22023:SAML コンポーネントにおける XML エンティティ拡張 (XEE) の脆弱性。
今日に発表されたセキュリティ・パッチへのアクセスと適用については、Ivanti のナレッジベースで詳しく説明されている。
インターネットに公開された、サービスやデバイスを発見する検索エンジン Shodan は、現時点においてオンラインで公開されている、29,000 台を超える Ivanti Connect Secure VPN ゲートウェイを追跡している。また、脅威監視プラットフォーム Shadowserver は、18,000 台を超える Ivanti Connect Secure VPN ゲートウェイを確認している。
今年に入ってから、国家に支援される APT たちは、Ivanti ソフトウェアの複数の脆弱性を悪用しており、数千台の Ivanti Connect Secure/Policy Secure エンドポイントが、依然として危険にさらされている。
それらのセキュリティ脆弱性である、CVE-2023-46805/CVE-2024-21887/CVE-2024-22024/CVE-2024-21893 などは、カスタム・マルウェアを拡散する広範な攻撃で、脅威アクターたちが使用する以前から、ゼロデイとして悪用されていた。
そのため、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti システムをゼロデイ攻撃から保護するための緊急指令を、それぞれの連邦政府機関に対して発動している。
その後に、CISA の指令は、Ivanti VPN アプライアンスを切断する方向へと修正された。したがって、それぞれの機関に対しては、脆弱性に対するパッチを適用したソフトウェアでシステムを再構築してから、オンラインに戻すことが義務づけられた。
3年前のことだが、中国の APT と思われる脅威グループが、Ivanto Connect Secureの別のゼロデイ脆弱性 CVE-2021-22893 を悪用して、米国と欧州における数十件の政府機関/防衛機関/金融機関などに侵入したというインシデントが発生している。
Ivanti に、新たな脆弱性 CVE-2024-21894 などが発生です。今年に入ってからというもの、Ivanti は脆弱性の発生と悪用に苦しんできました。今回の脆弱性が悪用されることなく、速やかに収束することを願います。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.