Ivanti製品の脆弱性を狙う攻撃拡大、修正パッチはまだ未公開

今回は「Ivanti製品の脆弱性を狙う攻撃拡大、修正パッチはまだ未公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米IvantiのVPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいじゃく)性の悪用を狙ったサイバー攻撃が拡大している。JPCERT コーディネーションセンター(JPCERT/CC)が1月31日までに追加の情報を公開し、国内ユーザーへ対応を呼び掛けている。だが、同日時点でIvantiから脆弱性を修正するパッチなどは提供されていない。

 問題となっている脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件。Ivanti Connect Secureの現行サポートバージョンの9x系および22x系とIvanti Policy Secureのウェブコンポーネントに存在する。脆弱性を悪用された場合、第三者が認証を回避して、任意のコマンドを実行することができる。

 JPCERT/CCによると、日本では1月11日にこれらの脆弱性を悪用したと見られる国内組織を標的にしたサイバー攻撃が発生した。同16日には、脆弱性を悪用するための方法の概念実証(PoC)が公開され、脆弱性の悪用を狙う攻撃が拡大した。主には、(1)ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃、(2)構成情報や設定情報の窃取を試みる攻撃、(3)マルウェアをダウンロードして実行する攻撃、(4)Ivanti製品から窃取した情報を用いて内部に侵入を試みる攻撃――が確認されているという。

 Ivantiは、脆弱性の影響を緩和する回避策として、ユーザー向けポータルでXMLファイルを配布し、ユーザーに確認の上で適用することを求めている。また、脆弱性悪用攻撃による侵害を検出するための整合性チェックツールを提供しているほか、影響を受けた場合の復旧方法も紹介している。

 今回の脆弱性や悪用攻撃を報告したVolexityによると、侵害を受けた場合に、ユーザーシステム内のウェブサーバーにウェブシェルが置かれたり、製品内のログが消去されたり、ログの記録が無効化されたりするなどの影響も受ける。JPCERT/CCは、製品の内部チェックの結果が改ざんされる攻撃も一部確認されたとし、Ivantiの整合性チェックツールで外部チェックを実行することを推奨している。

 Ivantiは、当初に脆弱性を修正するパッチを1月22日の週から段階的に公開するとしていた。しかし、26日には現在同社がサポートしているバージョンを対象にしたパッチのリリースが遅れていると発表し、1月29日の週のリリースを目標していると説明していた。日本時間31日正午時点で修正パッチはまだ公開されていない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
オラクルがクラウド時代に企業へアピールするアプリケーションの姿
IT関連
2022-11-16 21:03
東芝、GXやエネルギー分野DXのテクノロジーを示す–電力インフラ実績をベースに
IT関連
2024-02-17 00:08
マネーフォワード、自社法人用資金管理サービスとクレジットカードとの連携を開始
IT関連
2022-04-05 10:29
東京海上日動システムズ、生成AI活用したコード生成ツールを開発–プログラミングの生産性を約40%向上
IT関連
2024-06-28 04:58
ミズノ、データ活用基盤を「Microsoft Azure」で構築へ–データドリブン経営などの推進
IT関連
2023-09-30 09:55
IBM、金融サービス向けクラウドプラットフォームを一般提供–「Red Hat OpenShift」にも対応
IT関連
2021-04-09 23:22
PayPay、LINE Payの国内事業を吸収へ 海外はLINE Payに統一
ネットトピック
2021-03-02 05:23
「Raspberry Pi」新製品が1年に5つ–共同創設者に聞く次の一手
IT関連
2021-07-25 01:59
低温高圧下の水には2つの状態が存在、物質・材料研究機構(NIMS)が可逆的に転移する液液転移の直接観測に成功
IT関連
2022-02-16 03:48
暗号資産「$ASS」についてツイートしてはいけない
ブロックチェーン
2021-05-22 21:07
GANKO、公式アプリに「betrend」採用–来店回数に応じた会員ランク制度開始
IT関連
2024-04-28 04:28
美容グッズのネットショップGlossier元役員たち作ったヘッドレスコマースのChordが19.6億調達
ネットサービス
2021-03-26 13:01
OpenAI、よく考えて回答する新AIモデル「OpenAI o1」を発表
IT関連
2024-09-14 07:02
「Zoom」だけじゃない–ビデオ会議ツール10の選択肢
IT関連
2021-01-23 13:36