Ivanti fixes maximum severity RCE bug in Endpoint Management software
2024/09/10 BleepingComputer — Ivanti が公表したのは、同社の Endpoint Management (EPM) に存在する、深刻な脆弱性 CVE-2024-29847 を修正である。この脆弱性が、認証されていない攻撃者に悪用されると、コア・サーバ上でリモート・コード実行を許す可能性が生じるという。Ivanti EPM は、各種のプラットフォームを実行するために用いられる、クライアント・デバイス Windows/macOS/Chrome OS/IoT オペレーティング・システムなどを管理するためのツールである。脆弱性 CVE-2024-29847 は、エージェント・ポータルの信頼できないデータのデシリアライズの欠点に起因するものだが、Ivanti EPM 2024 HotPatch と、Ivanti EPM 2022 Service Update 6 (SU6) で対処されている。
同社は 9月10日に公開したアドバイザリーで、「悪用に成功した攻撃者は、EPM コアサーバへの不正アクセスを達成する可能性がある。ただし、アドバイザリの公開時点において、これらの脆弱性の悪用は確認されていない。」と述べている。
さらに Ivanti は、EPM/Workspace Control (IWC)/Cloud Service Appliance (CSA) に存在する 20件の脆弱性も修正した。これらの脆弱性も、アドバイザリの公開時点では悪用が確認されていないと、同社は述べている。
2024年1月にも、Ivanti EPM に存在する、お同様の RCE 脆弱性 CVE-2023-39336 にパッチが適用されている。この脆弱性も、悪用に成功した攻撃者に対して、コアサーバへのアクセスや、登録済みのデバイスの乗っ取りを可能にするものだった。
セキュリティ・プロセスの改善により、多くの脆弱性が修正された
Ivanti が 9月10日のブログで述べているのは、ここ数カ月において、社内におけけるスキャン/手作業による悪用の例証などの、テスト機能を強化してきたことである。それに加えて、潜在的な問題に迅速に対処するために、開示プロセスの改善にも取り組んでいるとという。
同社は、「これらの一連の取り組みにより、発見と開示が急増している。CISA の声明にある、”CVE の発見と開示は、健全なコード分析とテスト・コミュニティの兆候である” という見解に、我々は同意する」としている。
Ivanti の声明は、この数年において、Ivanti の複数のゼロデイが、広範囲で悪用されていることを受けたものだ。たとえば Ivanti VPN アプライアンスのケースでは、コマンド・インジェクションの脆弱性 CVE-2024-21887 と、認証バイパスの脆弱性 CVE-2023-46805 を、ゼロデイとして連鎖させるエクスプロイトが悪用され、2023年12月以降において標的にされている。
さらに同社は、2024年2月に3つ目のゼロデイである SSRF の脆弱性 CVE-2024-21893 が大量に悪用されていると警告を発している。
Ivanti は、世界中に7,000社以上のパートナーを持ち、40,000社以上の企業が IT 資産やシステムの管理に同社の製品を利用していると述べている。
このブログでは、今年に入ってから4回目の、Ivanti EPM に関する脆弱性が公表されました。文中にもあるように、今年の Ivanti は脆弱性と攻撃に悩まされてきました。そして、社内における取り組みを改善した結果として、多数の脆弱性が発見されたとのことです。よろしければ、Ivanti EPM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.