IvantiのVPN関連製品で2件の脆弱性報告、悪用攻撃も発生

今回は「IvantiのVPN関連製品で2件の脆弱性報告、悪用攻撃も発生」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 JPCERT コーディネーションセンター(JPCERT/CC)は1月11日、米IvantiのVPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」の複数の脆弱(ぜいじゃく)性に関する注意喚起を発表した。脆弱性を悪用された場合、第三者が認証を回避して任意のコマンドを実行する恐れがある。

 脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件で、Ivanti Connect Secureの現行サポートバージョンの9x系および22x系とIvanti Policy Secureのウェブコンポーネントに存在する。共通脆弱性評価システム(CVSS)による評価(最大値10.0)は、CVE-2023-46805が「8.2」、CVE-2024-21887が「9.1」となっている。

 米国時間1月10日時点で脆弱性を修正するパッチは、まだ提供されていない。Ivantiは、パッチや更新版など脆弱性対策の提供を1月22日の週から2月19日の週にかけて段階に行うと説明。脆弱性の影響を緩和する回避策として、製品ユーザー向けのポータルでXMLファイルを配布しており、注意を確認して適用することをアドバイスしている。

 脆弱性は米セキュリティ企業のVolexityが報告した。同社が10日に公開したブログによれば、2023年12月の第2週にネットワークセキュリティ監視サービスのユーザーの1社で、ネットワーク内部の不審な挙動が検知され、ユーザーシステム内のウェブサーバーにウェブシェルが置かれているのが分かった。

 調査でIvanti Connect Secureのログが消去され、ログの記録が無効化されていることが判明。ユーザーへの初期の侵害が少なくとも2023年12月3日に発生し、今回の脆弱性が悪用された可能性を発見したという。Volexityは、ブログ内で脆弱性の悪用に関連する参考情報も提供している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Twitterがサブスクリプションやチップなど有料機能の検討を認める
ネットサービス
2021-02-10 10:57
アップル、Windowsユーザー向けのChrome拡張機能「iCloudパスワード」を提供
IT関連
2021-02-02 12:57
岡山県瀬戸内市、学校の集金業務を「スクペイ」で負担軽減
IT関連
2025-01-30 04:53
デジタル庁、新型コロナワクチン接種状況のダッシュボードとオープンデータをリニューアル
IT関連
2022-01-26 20:15
ユビテック、安全見守りサービス「Work Mate」に注意力低下を検知する新機能
IT関連
2023-02-01 06:45
NECとNXHD、フォークリフトに後付けで自律遠隔搬送を可能にするソリューション
IT関連
2023-08-30 20:40
2025年へ国内企業のIT投資が拡大基調、DXやAIは現場実践に–ITRのアナリスト陣が解説
IT関連
2024-12-24 11:07
「Android 13」開発者プレビュー第2弾、アプリ通知はユーザーの許可が必須に
IT関連
2022-03-19 21:52
DeepL、「DeepL API」でコンテキストパラメーターを提供–コンテキストの追加を可能に
IT関連
2024-07-10 08:01
Visual Studio Codeが正式にRaspberry Piに対応。Notebook内のMarkdownレンダリングを強化し絵文字やKaTexによる複雑な数式など表記可能に
Microsoft
2021-04-02 23:30
生成AIをめぐる狂騒、現場目線で虚実を見抜くには
IT関連
2023-08-05 02:53
技術情報コミュニティ「Zenn」クラスメソッドが買収 オープンから4カ月半で
ネットトピック
2021-02-02 20:46
Netflixが従業員の多様性について最新の統計を発表、公式レポートとしては初
パブリック / ダイバーシティ
2021-01-16 04:27
OKI、AIで物流トラックの配送ルートを最適化 走行距離を1日300km削減
ロボット・AI
2021-03-16 07:24