Ivanti Connect Secure の脆弱性 CVE-2024-37404 が FIX:すでに PoC もリリース

CVE-2024-37404: Critical RCE Flaw Discovered in Ivanti Connect Secure & Policy Secure, PoC Published

2024/10/08 SecurityOnline — Ivanti の Connect Secure/Policy Secure に影響を及ぼす、深刻なリモート・コード実行 (RCE) の脆弱性が対処されたと、AmberWolf のセキュリティ研究者である Richard Warren が報告している。この脆弱性 CVE-2024-37404 (CVSS:9.1) の悪用に成功した認証済の攻撃者は、脆弱なシステム上での任意のコード実行の可能性を手にする。

Ivanti のセキュリティ・アドバイザリには、「この欠陥は Connect Secure/Policy Secure の管理ポータルにおける、不適切な入力検証に起因する。この脆弱性に関する情報の開示時点では、悪用されたユーザーはいないと認識しているが、すでに提供されているアップデートを、直ちに適用することを強く推奨している」と記されている。

管理者がシステム内で新たな証明書を生成するために使用される、Certificate Signing Request (CSR) 生成プロセスを通じて、この脆弱性が悪用される可能性がある。 Richard Warren が提供した分析では、入力フィールドに復帰改行 (CRLF) 文字を挿入して検証チェックをバイパスすることで、”/dana-admin/cert/admincertnewcsr.cgi” の CSR フォームを悪用する方法が示されている。

AmberWolf の Richard Warren は、「攻撃者は、POST パラメータの1つに CRLF 文字を挿入して、コンフィグ・ファイルに独自のセクションを追加し、任意のエンジン・パスを指定できる。この手法により、攻撃者は暗号化ツールキットである OpenSSL が使用するコンフィグ・ファイルを操作し、悪意のライブラリをロードし、リモートコード実行を達成できる」と述べている。

さらに Richard Warren の分析では、Ivanti のクライアント・ログ・アップロード機能の悪用に成功した攻撃者が、悪意のペイロードをアップロードする方法を示す PoC が提供されている。この攻撃チェーンは、クライアント・ログを装う悪意の ZIP ファイルをアップロードすることで、ペイロードをサーバに保存し、OpenSSL コンフィグ・ファイルにより参照させるというものだ。それにより、ターゲット・システムでの、任意のコード実行が可能にある。

Richard Warren は、「”uploadlog.cgi: 経由で偽のクライアント・ログをアップロードするだけで、コンフィグレーションが挿入さ、パスを参照できる。その結果として、エクスプロイトが成功し、ルート・ユーザーの下で実行されるリバース・シェルが確立される」と指摘している。

このレベルのアクセスにより、攻撃者は侵害されたシステムの完全な制御を達成するため、ユーザーにとって必要なことは、システムを直ちにアップデートすることになる。

影響を受けるバージョンは以下のとおりである:

  • Ivanti Connect Secure: All versions before 22.7R2.1
  • Ivanti Policy Secure: All versions before 22.7R1.1

脆弱性 CVE-2024-37404 は、以下の最新バージョンにアップグレードすることで軽減できる:

  • Ivanti Connect Secure: 22.7R2.1, 22.7R2.2, 9.1R18.9 (to be released on October 15)
  • Ivanti Policy Secure: 22.7R1.1

なお Ivanti は、直ちにアップデートが不可能な場合の緩和策も、以下のように提供している:

  • 管理者アクセスの制限:管理者アクセスが管理インターフェースでのみ有効化されていることを確認する。管理インターフェースは、ファイアウォールまたはジャンプホストにより、インターネットから分離されたプライベート IP スペースを持つ、分離された内部ネットワークに接続されている必要がある。
  • アクセス制御の強化:管理者の資格情報を保護するために、強力なパスワード/適切なローテーション・ポリシー/MFA などを実装する。
  • 管理者のログ記録の有効化:管理者による不正なアクションを監視する。

Ivanti Connect Secure/Policy Secure の脆弱性 CVE-2024-37404 ですが、情報の開示と時を同じくして PoC がリリースされています。Ivanti と AmberWolf の間での、情報開示に関するスケジューリングが上手くいかなかったのでしょうか? ご利用のチームは、ご注意ください。よろしければ、Ivanti で検索も、ご参照ください。