Ivanti の Connect Secure/Policy Secure/Secure Access Client に複数の脆弱性:ただちにパッチを!

Ivanti Connect Secure, Policy Secure and Secure Access Client Affected by Critical Vulnerabilities

2024/11/12 SecurityOnline — Ivanti がリリースしたのは、Connect Secure/Policy Secure/Secure Access Client 製品に存在する、深刻なリモート・コード実行 (RCE) などの、各種の脆弱性に対処するための、緊急のセキュリティ更新である。これらの脆弱性は、組織に対して重大なリスクをもたらすものであり、攻撃者に悪用されると、不正アクセス/権限昇格し、悪意のコードなどにいたる可能性があるという。

最も深刻な脆弱性は、CVE-2024-38655/CVE-2024-38656/CVE-2024-39710/CVE-2024-39711/CVE-2024-39712/CVE-2024-11007/CVE-2024-11006/CVE-2024-11005 (CVSS 9.1) である。これらの脆弱性は、引数インジェクションおよびコマンド・インジェクションに起因するものであり、管理者権限を持つ認証済みのリモート攻撃者に悪用されると、RCE が引き起こされる可能性が生じる。

その他の脆弱性は、以下のとおりである:

  • CVE-2024-47905/CVE-2024-47909 (CVSS 4.9):スタックバッファ・オーバーフローの脆弱性:管理者権限を持つ認証済みのリモート攻撃者が、これらの脆弱性の悪用に成功すると、サービス拒否 (DoS) が引き起こされる可能性が生じる。
  • CVE-2024-37400/CVE-2024-47907/CVE-2024-8495/CVE-2024-38649 (CVSS 7.5):境界外読み取り/ヌルポインタ逆参照/境界外書き込みの脆弱性:認証を必要としないリモート攻撃者により、無限ループや DoS が引き起こされる可能性が生じる。
  • CVE-2024-9420/CVE-2024-47906 (CVSS 8.8):解放後使用/過剰なバイナリ権限の脆弱性:リモート認証された攻撃者により、RCE を実行される可能性がある、解放後使用の脆弱性。ローカル認証された攻撃者に、権限を昇格を許す可能性のある過剰なバイナリ権限の脆弱性。
  • CVE-2024-39709 (CVSS 7.8):ローカル認証された攻撃者に、権限を昇格を許す可能性のある不正なファイル権限の脆弱性。
  • CVE-2024-11004 (CVSS 8.4):リモートの未認証の攻撃者に対して、管理者権限の取得を許す可能性のある、反射型クロス・サイト・スクリプティング (XSS) の脆弱性 (ユーザー操作が必要)。
  • CVE-2024-8539/CVE-2024-29211 (CVSS 7.1):ローカル認証された攻撃者に対して、機密コンフィグレーション・ファイルの変更を許す可能性のある、不適切な認証と競合状態の脆弱性。
  • CVE-2024-38654 (CVSS 4.4):不適切な境界チェックにより、管理者権限を持つローカルの認証済みの攻撃者に対して、DoS を引き起こす可能性を与える脆弱性。
  • CVE-2024-9842 (CVSS 7.3):不正な権限により、ローカルの認証済み攻撃者に対して、任意のフォルダ作成を許す可能性のある脆弱性。
  • CVE-2024-9843 (CVSS 5.0):ローカルの未認証の攻撃者に対して、DoS を引き起こす可能性を与える、バッファ・オーバー・リード脆弱性。
  • CVE-2024-37398/CVE-2024-7571 (CVSS 7.8):不十分な検証と不正な権限により、ローカルの認証済みの攻撃者に対して、権限昇格許す可能性のある脆弱性。

すでに Ivanti は、以下のバージョンをリリースし、これらの脆弱性に対処している:

  • Ivanti Connect Secure 22.7R2.3
  • Ivanti Policy Secure 22.7R1.2
  • Ivanti Secure Access Client 22.7R4

ユーザーに対して推奨されるのは、最新バージョンへと、可能な限り早急に更新し、潜在的な攻撃のリスクを軽減することである。Ivanti の公式セキュリティ・アドバイザリでは、これらの脆弱性とパッチ適用プロセスに関する、詳細情報が提供されている。

Ivanti の Connect Secure/Policy Secure/Secure Access Client に存在する、大量の脆弱性が FIX しました。ご利用のチームは、ご注意ください。Ivanti に関しては、同日である 2024/11/12 に、「Ivanti EPM の脆弱性 CVE-2024-50330 (CVSS 9.8) が FIX:ただちにパッチを!」がポストされています。よろしければ、Ivanti で検索と併せて、ご参照ください。