Ivanti warns of maximum severity CSA auth bypass vulnerability
2024/12/10 BleepingComputer — 12月10日に Ivanti が公開したのは、同社の Cloud Services Appliance (CSA) に存在する、複数の脆弱性 CVE-2024-11639/CVE-2024-11772/CVE-2024-11773 に対処するセキュリティ・アドバイザリである。修正された脆弱性のうち、最も深刻度が高い CVE-2024-11639 は、CVSS スコア最大値の 10.0 と評価されている。
Ivanti CSA 5.0.2 以下に存在する、これらの脆弱性は、CrowdStrike Advanced Research Team により報告された。この脆弱性の悪用に成功したリモートの攻撃者は、代替パス/チャネルを用いて認証を回避していく。それにより、脆弱なアプライアンスの管理者権限が不正に取得される可能性が生じるが、攻撃者は認証もユーザー操作も必要としない。
Ivanti CSA ユーザーに対して Ivanti が推奨するのは、修正された CSA 5.0.3 へと、速やかにアップグレードすることだ。アップグレードの詳細な手順は、同社のサポート文書で提供されている。
同社のアドバイザリには、「これらの脆弱性は、当社の情報開示プログラムを通じて報告された。また、現時点において、これらの脆弱性の悪用に関する情報や、IoC (indicators of compromise) リストを作成できるような情報は確認されていない」と記されている。
さらに、以下の製品に存在する、複数の脆弱性に対処するパッチもリリースされた。同社は、これらの脆弱性に関しても、実際に悪用されたという証拠は見つかっていないと述べている。
- Ivanti Desktop and Server Management (DSM)
- Ivanti Connect Secure and Policy Secure
- Ivanti Sentry
- Ivanti Patch SDK
ここ数か月の間に、いくつかの CSA セキュリティ脆弱性が修正されているが、今回の CVE-2024-11639 は6件目となる。以前に発見された、以下の5件の脆弱性は、すでに修正されている。
- 9月
CVE-2024-8190 (リモート・コード実行)
CVE-2024-8963 (管理者認証バイパス) - 10月
CVE-2024-9379/CVE-2024-9380/CVE-2024-9381 (SQL インジェクション/OS コマンド・インジェクション/パス・トラバーサル)
2024年9月の時点で Ivanti は、脆弱性 CVE-2024-8190/CVE-2024-8963 が、攻撃の標的となっていることを顧客に対して警告していた。
さらに、10月には、修正された3件の脆弱性 CVE-2024-9379/CVE-2024-9380/CVE-2024-9381 と、CVE-2024-8963 とを連鎖させる悪用方法が確認されている。これらの脆弱性のチェーンを達成した攻撃者は、SQLインジェクションによる SQL 文の実行/セキュリティのバイパス/コマンド・インジェクションなどを引き起こし、任意のコード実行などの可能性を得る。
これらの脆弱性の積極的な悪用を受けた Ivanti は、テストと内部スキャン機能を強化し、セキュリティ・バグを迅速に修正する一方で、情報開示プロセスの改善に努めている。
2024年の初めには、Ivanti の VPN アプライアンスや ICS/IPS/ZTA ゲートウェイなどを標的とする広範な攻撃において、複数のゼロデイ脆弱性の悪用が確認されている。
Ivanti CSA の3件の脆弱性が FIX しましたが、その中の CVE-2024-11639 は、CVSS:10.0 と評価されています。NVD でパラメータを確認しましたが、ネットワークを介した、複雑度の低い攻撃が可能となっています。ご利用のチームは、ご注意ください。よろしければ、Ivanti CSA で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.