Zero-Day Alert: Three Critical Ivanti CSA Vulnerabilities Actively Exploited
2024/10/08 TheHackerNews — Ivanti が公表したのは、同社の Cloud Service Appliance (CSA) に影響を及ぼす3件の新たな脆弱性が、実際に悪用されているという警告である。ユタ州を拠点とする Ivanti によると、先月にパッチ適用された CSA の別の脆弱性と組み合わせることで、それらの新たなゼロデイ脆弱性が武器化されているようだ。これらの脆弱性の悪用に成功した、管理者権限を持つ認証済みの攻撃者であれば、各種の制限の回避や、任意の SQL 文の実行、リモート・コード実行などを可能にするという。
Ivanti は、「脆弱性 CVE-2024-9379/CVE-2024-9380/CVE-2024-9381 が、9月の脆弱性 CVE-2024-8963 と連鎖すると、CSA 4.6 patch 518 以前を実行している一部のユーザーにおいて、悪用が発生していることを認識している」と述べている。ただし、CSA 5.0 を実行しているユーザーにおいては、悪用の証拠はないという。
それらの3件の脆弱性は以下のとおりである:
CVE-2024-9379 (CVSS:6.5):Ivanti CSA バージョン 5.0.2 未満の、管理 Web コンソールにおける SQL インジェクションの脆弱性であり、管理者権限を持つリモート攻撃者に対して、任意の SQL ステートメント実行を許す。
CVE-2024-9380 (CVSS:7.2):Ivanti CSA バージョン 5.0.2 未満の、管理 Web コンソールにおける OS コマンド・インジェクションの脆弱性であり、管理者権限を持つリモート攻撃者に対して、リモート・コード実行を許す。
CVE-2024-9381 (CVSS:7.2):Ivanti CSA バージョン 5.0.2 未満の、パス・トラバーサルの脆弱性であり、管理者権限を持つリモート攻撃者に対して各種の制限の回避を許す。
Ivanti が観察した攻撃においては、上記の3つの脆弱性と、9月の脆弱性 CVE-2024-8963 (CVSS:9.4) が組み合わされている。この深刻なパス・トラバーサルの脆弱性の悪用に成功した、リモートの未認証の攻撃者は、制限が施された機能へのアクセスを獲得する。
Ivanti によると、脆弱性 CVE-2024-8963 および CVE-2024-8190 (CVSS:7.2) の悪用について実施した調査において、3件の新たな脆弱性が発見されたとのことだ。この CVE-2024-8190 は、CSA の別の OS コマンド・インジェクションの脆弱性であり、すでにパッチは適用されているが、現実での悪用が観測されている。
同社がユーザーに推奨しているのは、最新バージョン 5.0.2 への更新である。それに加えて、アプライアンス上で変更/追加された管理ユーザーの確認および、デバイスにインストールされている EDR ツールからのアラートの確認も、推奨している。
つい先日の 10月2日 (水) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が、Ivanti Endpoint Manager (EPM) に存在し、5月に修正された脆弱性 CVE-2024-29824 (CVSS:9.6) を、KEV カタログに追加している。それから1週間も経たないうちに、今回の脆弱性が発生している。
Ivanti Cloud Service Appliance (CSA) で発見された3件の新たな脆弱性ですが、9月の脆弱性 CVE-2024-8963 (CVSS:9.4) との組み合わせによる悪用が検出されているとのことです。脆弱性 CVE-2024-8963 はパス・トラバーサルであり、横移動した後のコマンド・インジェクションとコマンド・インジェクションも考えられますし、その逆も考えられます。ご利用のチームは、十分に、ご注意ください。よろしければ、Ivanti CSA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.