CISA: Hackers still exploiting older Ivanti bugs to breach networks
2025/01/23 BleepingComputer — 2025年1月23日 (木) に CISA と FBI が警告したのは、2024年9月以降に修正された Ivanti Cloud Service Appliances (CSA) のセキュリティ脆弱性を、依然として悪用する攻撃者が脆弱なネットワークに侵入していることである。これらの攻撃で連鎖される脆弱性には、2024年9月に修正された管理者認証バイパスの CVE-2024-8963/リモートコード実行の CVE-2024-8190 に加えて、2024年10月に修正された SQL インジェクションの CVE-2024-9379/リモートコード実行の CVE-2024-9380 が含まれる。
これら4件のバグは、以前にもゼロデイ攻撃で悪用されたとタグ付けされている。すでに CISA は、これらの欠陥を KEV カタログに追加し、連邦民間行政機関 (FCEB) 機関に対しては、拘束的運用指令 (BOD) 22-01 での義務付けに従い、それらのアプライアンスのセキュリティを確保するよう命じている。
1月22日 (水) の時点で CISA は、「当局と信頼できる第三者のインシデント対応データによると、脅威アクターたちは、指摘される脆弱性を連鎖させてイニシャル・アクセスを取得し、リモートコード実行 (RCE) を達成して認証情報を取得した後に、被害者のネットワークにウェブシェルを埋め込んだ」と述べている。
さらに CISA は、「脅威アクターたちが主として用いたエクスプロイト・パスは、2つの脆弱性チェーンだった。1つ目は、CVE-2024-8190 と CVE-2024-9380 を組み合わせた上での CVE-2024-8963 の悪用であり、2つ目は、CVE-2024-8963 と CVE-2024-9379 の悪用である。特定された侵害で確認されたのは、脅威アクターが2つのサーバに横移動したことだ」と付け加えている。
現時点において CISA と FBI が、すべてのネットワーク管理者に対して強く推奨するのは、個々のシステムを標的とする進行中の攻撃を阻止するために、最新の Ivanti CSA バージョンへと、アプライアンスをアップグレードすることだ。
また、アドバイザリで共有されている IOC (indicators of compromise) と検出の手順を用いて、ネットワーク上の悪意のアクティビティ兆候を、探し出すことも推奨されている。
CISA と FBI は、「影響を受けた Ivanti アプライアンス内に保存されている、認証情報と機密データは、すでに侵害されたと見なす必要がある。ユーザー組織は、悪意のアクティビティのログとアーティファクトを収集/分析し、このアドバイザリ内で提供される、インシデント対応の推奨事項を適用する必要がある」と警告している。
Ivanti がテストと内部スキャン機能を強化し、セキュリティ上の欠陥を迅速に修正するために、開示プロセスを改善したと発表する中で、一連の脆弱性の積極的な悪用が発生している。
2024年には、脆弱な Ivanti VPN アプライアンスと、ICS/IPS/ZTA ゲートウェイに対する広範な攻撃で、いくつかの脆弱性がゼロデイとして悪用されてきた。
また、2025年初頭から、Ivanti Connect Secure VPNアプライアンスは、中国系スパイと疑われる攻撃者 UNC5221 にも、リモートコード実行のゼロデイ攻撃の標的とされ、新たなマルウェアである Dryhook と Phasejam による感染を生み出している。
世界中の4万社以上の企業が、システムと IT 資産の管理において、Ivanti の製品を使用している。
Ivanti CSA の複数の脆弱性が、依然として悪用されているため、CISA が警告を出しています。すでに KEV に登録されている脆弱性も、それらの中には含まれています。ご利用のチームは、改めて、ご確認ください。よろしければ、Ivanti CSA で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.