PoC Exploit Emerges for Critical RCE Bug in Ivanti Endpoint Manager
2024/06/14 DarkReading — 先日に公開された、Ivanti Endpoint Manager の深刻な脆弱性に対して、研究者たちが PoC エクスプロイトを提供している。独立系の研究者により発見された、SQL インジェクションの脆弱性 CVE-2024-29824 は、Trend Micro – Zero Dayた Initiative (ZDI) 手渡され、その後の 4月3日の時点で、ZDI から Ivanti に通知が行われ。
この脆弱性は、同社の集中型エンドポイント管理ソリューションに影響を及ぼすものであり、1つの起動ポイントから組織全体のデバイス群へと、侵害を広げたいハッカーにとって魅力的なターゲットである。この問題は、未認証の攻撃者によるリモート・コード実行 (RCE) を可能にするため、CVSS スコアは 9.8 と評価されている。
ZDI の Head of Threat Awareness である Dustin Childs は、「一般的に見て、Endpoint Manager は高権限を持つため、この脆弱性を悪用することで、Ivanti システムを乗っ取ることが可能だ。そこから他のシステムに影響を与え、Endpoint Manager により行えることなら、そのすべてを行えるようになる」と述べている。
この欠陥が起因するのは、プログラムのコア・サーバに含まれる、”PatchBiz “と呼ばれる DLL ファイル内のメソッド “RecordGoodApp” である。Horizon3.ai が、GitHub で PoC を公開して、最新のブログ投稿で概説しているように、攻撃者は RecordGoodApp の最初の文字列を悪用できる。彼らは、イベントを処理するエンドポイントへ向けて、”かなり些細な “リクエストを送信して、Windows メモ帳を実行するように説得することで、それを実証している。
Ivanti の対応
サイバーセキュリティの歴史において、今年の Ivanti のように非難を浴びた組織は、きわめて珍しい。当初においては、いくつかのゼロデイ脆弱性が発見され、その後に別の脆弱性と、さらに多くの脆弱性が、発見されるにいたった。そのためのパッチ適用は後手に回り、悪用の件数が急増した。そして、ようやく悪評が落ち着き始めた頃に、この最新の脆弱性が登場したことになる。
しかし、すでに Ivanti は、この最新の脆弱性に対処していることを、Dustin Childs は強調している。
彼は、「パッチの適用について、Ivanti を説得する必要はなかった。私たちが報告したところ、すぐに対応してくれた。彼らは、報告から6週間も経たないうちにパッチを作成した。これほど素晴らしいことはない。今年の Ivanti は、数多くのセキュリティ問題を抱えたが、この問題に対しては、きわめてタイムリーに対処している」と指摘している。
5月24日の時点で Ivanti は、CVE-2024-29824 へのパッチを公開している。したがって、いまもパッチ未適用の顧客に対しては、可能な限り早急なパッチ適用が推奨される。その背景には、Ivanti の脆弱性の悪用を繰り返してきた脅威アクターたちの存在があり、利用可能で有効な PoC があれば、攻撃に拍車がかかる可能性が高いという事実がある。
Dustin Childs は、「パッチを適用するだけではなく、Web における管理インタフェースを保護することも重要である。エンドポイント・マネージャーがインターネットに露出している場合には、そこへのアクセスに制限を加え、信頼できる IP アドレスだけ許可すべきだ」と述べている。
文中にもあるように、今年の Ivanti は散々な状況にあり続けていました。そして、ようやく事態が落ち着いてきた矢先に、今回の脆弱性 CVE-2024-29824 と PoC エクスプロイトが登場しました。 この新たな脆弱性が悪用されることなく、沈静化していくと良いですね。よろしければ、Ivanti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.