Ivanti製品の脆弱性を狙う攻撃拡大、修正パッチはまだ未公開

今回は「Ivanti製品の脆弱性を狙う攻撃拡大、修正パッチはまだ未公開」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 米IvantiのVPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいじゃく)性の悪用を狙ったサイバー攻撃が拡大している。JPCERT コーディネーションセンター(JPCERT/CC)が1月31日までに追加の情報を公開し、国内ユーザーへ対応を呼び掛けている。だが、同日時点でIvantiから脆弱性を修正するパッチなどは提供されていない。

 問題となっている脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件。Ivanti Connect Secureの現行サポートバージョンの9x系および22x系とIvanti Policy Secureのウェブコンポーネントに存在する。脆弱性を悪用された場合、第三者が認証を回避して、任意のコマンドを実行することができる。

 JPCERT/CCによると、日本では1月11日にこれらの脆弱性を悪用したと見られる国内組織を標的にしたサイバー攻撃が発生した。同16日には、脆弱性を悪用するための方法の概念実証(PoC)が公開され、脆弱性の悪用を狙う攻撃が拡大した。主には、(1)ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃、(2)構成情報や設定情報の窃取を試みる攻撃、(3)マルウェアをダウンロードして実行する攻撃、(4)Ivanti製品から窃取した情報を用いて内部に侵入を試みる攻撃――が確認されているという。

 Ivantiは、脆弱性の影響を緩和する回避策として、ユーザー向けポータルでXMLファイルを配布し、ユーザーに確認の上で適用することを求めている。また、脆弱性悪用攻撃による侵害を検出するための整合性チェックツールを提供しているほか、影響を受けた場合の復旧方法も紹介している。

 今回の脆弱性や悪用攻撃を報告したVolexityによると、侵害を受けた場合に、ユーザーシステム内のウェブサーバーにウェブシェルが置かれたり、製品内のログが消去されたり、ログの記録が無効化されたりするなどの影響も受ける。JPCERT/CCは、製品の内部チェックの結果が改ざんされる攻撃も一部確認されたとし、Ivantiの整合性チェックツールで外部チェックを実行することを推奨している。

 Ivantiは、当初に脆弱性を修正するパッチを1月22日の週から段階的に公開するとしていた。しかし、26日には現在同社がサポートしているバージョンを対象にしたパッチのリリースが遅れていると発表し、1月29日の週のリリースを目標していると説明していた。日本時間31日正午時点で修正パッチはまだ公開されていない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
LINE、自治体に当初「個人情報は日本で管理」と説明 出澤社長が謝罪「説明が不十分だった」
企業・業界動向
2021-03-26 18:16
NTTの「IOWN」普及へ、さまざまな取り組みで進むプロジェクト
IT関連
2024-02-14 12:58
広島銀行、間接費管理に「SAP Concur」を採用–ペーパーレス化とコスト削減を目指す
IT関連
2024-06-20 11:57
ヴイエムウェアが新社長会見–日本法人としてのアイデンティティー構築に注力
IT関連
2021-01-19 04:36
Google Cloudが開発したPostgreSQL互換ソフトウェア「AlloyDB Omni」がバージョンアップ、より高性能に
Google Cloud
2024-11-19 22:13
和歌山県白浜町、企業誘致やワーケーションに向けてRPAの利用を開始
IT関連
2024-01-10 21:07
遠くにいる者同士で並んで散歩できるテレプレゼンス散歩 東大など開発 :Innovative Tech
トップニュース
2021-01-27 12:54
警視庁、クラウド型モバイルPOSレジを導入–警察署、免許センターなどでキャッシュレス決済
IT関連
2021-08-19 23:06
NTT Com、中小企業にゼロトラスト型セキュリティサービスを開始
IT関連
2022-03-03 11:58
中国ネット企業でLLMの開発競争が激化–その裏には学生使い捨ての現実
IT関連
2023-09-23 23:38
マイナ保険証への移行が迫る今、ZDNET読者のマイナンバー活用状況は?
IT関連
2024-07-03 18:17
2024年にはIT製品・サービスの80%をIT専門外の人が開発–ガートナー
IT関連
2021-06-22 18:16
金属3Dプリント構造物では世界最大級、センサーで痛み具合・交通量が計測可能なステンレス製3Dプリント橋が登場
パブリック / ダイバーシティ
2021-07-20 16:56
貝印、「紙カミソリ」開発 使い捨てカミソリを脱プラスチックに
くらテク
2021-03-03 04:34