Ivanti CSA の脆弱性 CVE-2024-8190 と PoC の提供:CISA KEV にも登録

PoC Exploit Releases for Exploited Vulnerability CVE-2024-8190 in Ivanti Cloud Services Appliance

2024/09/19 SecurityOnline — Ivanti Cloud Services Appliance に存在する、OS コマンド・インジェクションの脆弱性 CVE-2024-8190 に対する PoC エクスプロイト・コードが公開され、デバイスのアップデートが急務となっている。 PoC エクスプロイトを公開した Horizon3.ai のセキュリティ研究者である Zach Hanley は、この脆弱性を詳細に調査し、ミスコンフィグされたネットワークが、組織に重大なリスクをもたらす可能性があることを明らかにした。

Ivanti が 9月10日に公開した勧告によると、この脆弱性の悪用に成功した認証済みのリモート攻撃者は、管理者レベルの特権を悪用して、影響を受けるシステム上で任意のコード実行を可能にするという。この脆弱性は、Ivanti CSA 4.6 Patch 518 以下のバージョンに存在するが、Ivanti が強調するのは、推奨されるコンフィグに従っている CSA デバイスでは、リスクが軽減されるという指摘である。Zach Hanley の調査でも、現実のミスコンフィグにより、多くの組織が脆弱な状態になる可能性が明らかになっている。

情報公開の時点において、この脆弱性を悪用するには、認証付きアクセスが必要となるため、軽微な懸念事項とみなされていた。しかし、その数日後に、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されたことで、急速に注目を集めるようになった。

脆弱性 CVE-2024-8190 の発生は、日付と時刻の設定を処理する PHP ファイルにおける、ユーザー入力に対する検証の失敗に起因することが、Hanley の分析により判明している。具体的に言うと、この脆弱なコードは DateTimeTab.php ファイルに存在し、TIMEZONE 引数を適切に検証することなく、exec() 関数にダイレクトに渡すという問題を抱えている。この、入力に対する不適切な処理により、攻撃者は任意のコマンド注入を達成し、リモート・コード実行(RCE) へとつながる可能性が生じる。

HTTP リクエストを解析する handleDateTimeSubmit
Image: Horizon3.ai

この脆弱な機能は、本来は内部インターフェースからのアクセスだけを意図している、”/datetime.php” エンドポイント経由でアクセスが可能である。しかし、ミスコンフィグが生じているシステムでは、このインターフェースが外部に公開され、攻撃者に対して脆弱性悪用の経路を提供してしまう。

Hanley が公開した PoC エクスプロイト・コードでは、侵害済の CSA デバイスにアクセスする攻撃者が、きわめて容易に脆弱性 CVE-2024-8190 を悪用できることが示されている。

この侵害の兆候に関して、Hanley は重要な指標を提供している。悪意のログイン試行が失敗したときには、”User admin does not authenticate” というメッセージが /var/log/messages ファイルに生成されるため、失敗の可能性が示唆される。その反対に、侵入が成功すると、認証を回避したことを示す “response 200” を含むログが生成されるという。

すでに Ivanti は、この脆弱性に対するパッチを発行しているため、速やかな適用が強く推奨される。さらに、ネットワーク構成の再確認および、内部インターフェースの正しい設定の確認に加えて、パブリック・インターネットに露出していないことの確認も強く推奨される。また、強力なパスワード・ポリシーを徹底し、ログイン試行に対するレート制限の実装により、ブルートフォース攻撃に対するリスク軽減も重要である。

Ivanti Cloud Services Appliance (CSA) に存在する、OS コマンド・インジェクションの脆弱性 CVE-2024-8190 ですが、以下のリストにあるように、きわめて短い期間において、悪用の報告が繰り返されています。お隣のキュレーション・チームにも聞いてみましたが、9月12日にレポートをアップしたとのことでした。そこに、PoC エクスプロイト・コードが登場したという状況です。ご利用のチームは、十分に ご注意ください。

2024/09/17:Ivanti CSA の CVE-2024-8190:悪用を観測
2024/09/13:CISA KEV:Ivanti CSA の CVE-2024-8190 を登録