CISA KEV 警告 24/10/09:Fortinet と Ivanti の脆弱性3件を登録

CISA Adds Three Actively Exploited Security Vulnerabilities to KEV Catalog, Urges Urgent Patching

2024/10/09 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現実の悪用が報告されている3件の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。これらの脆弱性を持つ製品を使用している組織には、緊急のパッチ適用によるシステム保護の必要があると示されている。CISA によると、影響を受けるプラットフォームには、エンタープライズ環境で広く使用されている Fortinet と Ivanti の製品が含まれるという。

積極的な悪用の証拠に基づき、KEVカタログに登録されたのは以下の脆弱性である。

CVE-2024-23113 (CVSS:9.8):Fortinet の複数の製品に存在する、文字列フォーマットの深刻な脆弱性は、FortiOS fgfmd デーモン内の文字列フォーマットの欠陥に起因している。この脆弱性を突く攻撃者は、悪意のリクエストを作成し、リモート・コード実行 (RCE) を引き起こす可能性を手にする。一度、この脆弱性が悪用されると、攻撃者はネットワークに侵入し、機密データへのアクセスや、横方向の移動の足掛かりの確立などを達成する。Fortinet セキュリティ製品を使用している環境において、この脆弱性は広範に悪用される可能性があるため、特別な警戒が必要となる。FortiOS は、企業や政府のネットワークに欠かせないものであり、重要なインフラ対する深刻な脅威が生じている。

CVE-2024-9379 (CVSS:6.5):Ivanti Cloud Services Appliance (CSA) の管理 Web コンソール バージョン 5.0.2 未満に存在する、SQL インジェクション脆弱性 により、管理者権限を持つリモート認証攻撃者が、任意の SQL ステートメントを実行するという可能性が生じている。攻撃の前提として、管理者のアクセス権限が必要になるが、この脆弱性の悪用に成功した攻撃者は、データベースの操作/機密情報を抽出などにより、システムの整合性を変更する可能性を手にする。

CVE-2024-9380 (CVSS:7.2):Ivanti Cloud Services Appliance (CSA) に存在する、OS コマンド・インジェクションの悪用に成功した管理者権限を持つ攻撃者は、リモート・コード実行 (RCE) の可能性を手にするが。この脆弱性は、Ivanti CSA 管理 Web コンソールのバージョン 5.0.2 未満に影響を及ぼす。この脆弱性を悪用する攻撃者は、システム全体の侵害/任意の OS コマンドを実行/悪意のソフトウェアのインストール/重要なサービスの無効化などを引き起こす可能性を手にする。

Ivanti が警告するのは、これらの脆弱性 CVE-2024-9379/CVE-2024-9380 と、別の脆弱性 CVE-2024-8963 を組み合わせる攻撃チェーンであり、CSA 4.6 パッチ 518 以前を実行している一部の環境で悪用されているという。この連鎖により、攻撃者は任意の SQL コマンドの実行から、本格的なシステム侵害にいたるまで、被害を拡大する可能性を得る。

Ivanti がユーザーに対して推奨するのは、バージョン 5.0.2 に直ちにアップグレードして、これらの脆弱性の影響を軽減することである。それに加えて、侵害の兆候となり得る異常な管理アカウントや、許可されていない管理アカウントの有無を、システム・ログで確認することも必要だろう。

連邦文民行政部門 (FCEB) 機関は、2024年10月30日までに、これらの脆弱性を修正し、増大する脅威に対応することをた義務付けられている。

なお、民間の企業においても、この対応を怠ると、サイバー犯罪者による悪用に対してネットワークが脆弱になり、重大な侵害や重要なサービスの中断につながる可能性がある。

Fortinet と Ivanti の脆弱性が、CISA KEV に登録されました。Fortinet の CVE-2024-23113 は、2024年3月に公表されたものです。また、Ivanti の CVE-2024-9379/CVE-2024-9380 は、2024/10/08 の「Ivanti CSA の脆弱性 CVE-2024-9381 などが FIX:古い脆弱性との組み合わせで武器化」で お伝えしたものです。昨日の 10月8日にも、CISA KEV に Qualcomm と Microsoft の脆弱性が3件が登録されています。併せて、ご注意ください。