Ivanti Connect Secure and Policy Secure Updates Address Critical Vulnerabilities
2024/12/10 SecurityOnline — Ivanti が発行したのは、Connect Secure/Policy Secure ソリューションに影響を及ぼす、いくつかの深刻な脆弱性に対するパッチである。これらの脆弱性が悪用されると、リモート・コード実行 (RCE)/サービス拒否 (DoS)/セキュリティ バイパスが引き起こされる可能性があるため、エンドポイント/エンタープライズの安全な管理のために、速やかな更新が不可欠となる。
CVE-2024-11633 (CVSS:9.1):引数インジェクション (Critical)
Ivanti Connect Secure (22.7R2.4 未満) に存在する引数インジェクション脆弱性により、リモート認証された管理者権限を持つ攻撃者に、リモート・コード実行を許す可能性がある。
CVE-2024-11634 (CVSS:9.1):コマンド・インジェクション (Critical)
Ivanti Connect Secure (22.7R2.3 未満)/Policy Secure (22.7R1.2 未満) に存在するコマンド・インジェクション脆弱性により、管理者権限を持つ攻撃者に対して、リモート・コード実行を許す可能性がある。
CVE-2024-37377/CVE-2024-37401:ヒープ・オーバーフロー/境界外読み取り
Ivanti Connect Secure の IPsec 実装における、これらの脆弱性により、未認証のリモート攻撃者に対して、サービス拒否攻撃を許す可能性がある。
CVE-2024-9844:サーバ・サイドにおける不十分な制御 (High)
Ivanti Connect Secure の Secure Application Manager における脆弱性により、認証されたリモート攻撃者に対して、制限の回避を許す可能性がある。
上記の深刻な脆弱性 CVE-2024-11633/CVE-2024-11634 は、バージョン 9.1Rx コードを使用するユーザーにとって、深刻なリスクとなる。ただし、Ivanti は、バージョン 9.x において、 これらの脆弱性は修正されないと述べている。ユーザーに対して同社が推奨するのは、管理インターフェイスへのアクセスを内部ネットワークに制限して、リスクを軽減することだ。
注意してほしいのは、9.1Rx ラインのコードのサポートが、2024年12月31日に終了することだ。このラインに対するパッチは、ベスト・エフォートとして提供される。Ivanti が顧客に対して強く推奨するのは、Connect Secure 22.7 へとアップグレードして、最新のセキュリティ・サポートを受けることだ。
これらの脆弱性は、以下のように、各製品の最新バージョンで対処されている:
- Ivanti Connect Secure 22.7R2.4
- Ivanti Policy Secure 22.7R1.2
ユーザーに対して推奨されるのは、これらの製品を直ちに更新し、悪用のるリスクを軽減することだ。アップデートに関しては、Ivanti ダウンロード・ポータルから入手できる。
Ivanti Connect Secure/Policy Secure の深刻な脆弱性が FIX しました。深刻度の高いものがあるので、ご利用のチームは、ご注意ください。Ivanti に関しては、同日である 2024/12/10 に、「Ivanti CSA の認証バイパス脆弱性 CVE-2024-11639 (CVSS 10.0) などが FIX:直ちにアップデートを!」という記事がポストされています。よろしければ、Ivanti で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.