IvantiのVPN関連製品で2件の脆弱性報告、悪用攻撃も発生

今回は「IvantiのVPN関連製品で2件の脆弱性報告、悪用攻撃も発生」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　JPCERT コーディネーションセンター（JPCERT/CC）は1月11日、米IvantiのVPN製品「Ivanti Connect Secure」（旧Pulse Connect Secure）とゲートウェイ製品「Ivanti Policy Secure」の複数の脆弱（ぜいじゃく）性に関する注意喚起を発表した。脆弱性を悪用された場合、第三者が認証を回避して任意のコマンドを実行する恐れがある。

　脆弱性は、認証回避（CVE-2023-46805）とコマンドインジェクション（CVE-2024-21887）の2件で、Ivanti Connect Secureの現行サポートバージョンの9x系および22x系とIvanti Policy Secureのウェブコンポーネントに存在する。共通脆弱性評価システム（CVSS）による評価（最大値10.0）は、CVE-2023-46805が「8.2」、CVE-2024-21887が「9.1」となっている。

　米国時間1月10日時点で脆弱性を修正するパッチは、まだ提供されていない。Ivantiは、パッチや更新版など脆弱性対策の提供を1月22日の週から2月19日の週にかけて段階に行うと説明。脆弱性の影響を緩和する回避策として、製品ユーザー向けのポータルでXMLファイルを配布しており、注意を確認して適用することをアドバイスしている。

　脆弱性は米セキュリティ企業のVolexityが報告した。同社が10日に公開したブログによれば、2023年12月の第2週にネットワークセキュリティ監視サービスのユーザーの1社で、ネットワーク内部の不審な挙動が検知され、ユーザーシステム内のウェブサーバーにウェブシェルが置かれているのが分かった。

　調査でIvanti Connect Secureのログが消去され、ログの記録が無効化されていることが判明。ユーザーへの初期の侵害が少なくとも2023年12月3日に発生し、今回の脆弱性が悪用された可能性を発見したという。Volexityは、ブログ内で脆弱性の悪用に関連する参考情報も提供している。