Ivanti製品の脆弱性を狙う攻撃拡大、修正パッチはまだ未公開

今回は「Ivanti製品の脆弱性を狙う攻撃拡大、修正パッチはまだ未公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米IvantiのVPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいじゃく)性の悪用を狙ったサイバー攻撃が拡大している。JPCERT コーディネーションセンター(JPCERT/CC)が1月31日までに追加の情報を公開し、国内ユーザーへ対応を呼び掛けている。だが、同日時点でIvantiから脆弱性を修正するパッチなどは提供されていない。

 問題となっている脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件。Ivanti Connect Secureの現行サポートバージョンの9x系および22x系とIvanti Policy Secureのウェブコンポーネントに存在する。脆弱性を悪用された場合、第三者が認証を回避して、任意のコマンドを実行することができる。

 JPCERT/CCによると、日本では1月11日にこれらの脆弱性を悪用したと見られる国内組織を標的にしたサイバー攻撃が発生した。同16日には、脆弱性を悪用するための方法の概念実証(PoC)が公開され、脆弱性の悪用を狙う攻撃が拡大した。主には、(1)ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃、(2)構成情報や設定情報の窃取を試みる攻撃、(3)マルウェアをダウンロードして実行する攻撃、(4)Ivanti製品から窃取した情報を用いて内部に侵入を試みる攻撃――が確認されているという。

 Ivantiは、脆弱性の影響を緩和する回避策として、ユーザー向けポータルでXMLファイルを配布し、ユーザーに確認の上で適用することを求めている。また、脆弱性悪用攻撃による侵害を検出するための整合性チェックツールを提供しているほか、影響を受けた場合の復旧方法も紹介している。

 今回の脆弱性や悪用攻撃を報告したVolexityによると、侵害を受けた場合に、ユーザーシステム内のウェブサーバーにウェブシェルが置かれたり、製品内のログが消去されたり、ログの記録が無効化されたりするなどの影響も受ける。JPCERT/CCは、製品の内部チェックの結果が改ざんされる攻撃も一部確認されたとし、Ivantiの整合性チェックツールで外部チェックを実行することを推奨している。

 Ivantiは、当初に脆弱性を修正するパッチを1月22日の週から段階的に公開するとしていた。しかし、26日には現在同社がサポートしているバージョンを対象にしたパッチのリリースが遅れていると発表し、1月29日の週のリリースを目標していると説明していた。日本時間31日正午時点で修正パッチはまだ公開されていない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
HPE、脱炭素目標を10年前倒し–2040年までにCO2排出量を90%削減へ
IT関連
2022-07-30 02:35
JX石油開発、DX推進でプロジェクト管理領域の改革に着手
IT関連
2022-05-10 06:53
パーソルマーケティングら、営業DXを推進するメニューを展開–ツール導入など支援
IT関連
2022-11-19 14:43
ベロシティ Deep Dive。スクラムにおけるベロシティのアンチパターンと適切な使い方とは(後編)
アジャイル開発
2024-02-26 11:15
「2月の株主優待」人気トップ、イオン–コロナ後の成長見えてきた
IT関連
2021-01-27 17:50
FBI、「Exchange」の脆弱性対応で米国内サーバーのウェブシェルを強制除去
IT関連
2021-04-14 12:03
ドン・キホーテ、RPAプラットフォームで約170の業務を自動化
IT関連
2021-06-16 16:05
106要件に対応–富士通とオラクルが語る、ソブリンクラウド提供に向けた協業の裏側
IT関連
2024-09-26 19:54
Blazor WebAssemblyとBlazor Serverが統合、フルスタックUIフレームワークに進化。サーバサイドレンダリングも可能に
.NET
2023-11-16 03:49
マイクロソフト、サイバーセキュリティ企業RiskIQを買収へ
IT関連
2021-07-13 13:00
IPA、偽セキュリティ警告やサポート詐欺の体験サイト開設–被害防止を訓練可能
IT関連
2023-12-21 20:24
退職を考えているエンジニアが最初に検討すべき3つのこと
IT関連
2022-08-03 06:54
コンピュータービジョンで職場の安全性を監視するIntenseyeが4.2億円を調達
ソフトウェア
2021-02-13 17:59
ソフトバンクら、PayPayドームをメタバース化–ボールの軌跡を仮想空間に再現
IT関連
2022-05-27 09:24