Ivanti、セキュリティアップデートを公開–新たに2件の脆弱性も

今回は「Ivanti、セキュリティアップデートを公開–新たに2件の脆弱性も」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Ivantiは米国時間1月31日、VPN製品「Ivanti Connect Secure」（旧Pulse Connect Secure）とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱（ぜいしゃく）性を修正するためのセキュリティアップデートを公開した。新たに2件の脆弱性情報も公開し、セキュリティアップデートでは既知2件、新規2件の複数の脆弱性に対処している。

　セキュリティアップデートは、当該製品の現行サポートバージョンとなる9x系および22x系が対象。バージョン9.1R14.4、同9.1R17.2、同9.1R18.3、同22.4R2.2、同22.5R1.1で脆弱性を修正した。ユーザーはダウンロードポータルから入手できるが、リリースは段階的に行うという

　既知の脆弱性は、認証回避（CVE-2023-46805）とコマンドインジェクション（CVE-2024-21887）の2件で、悪用されると、第三者が認証を回避して任意のコマンドを実行する恐れがある。既に脆弱性を悪用するサイバー攻撃が発生している。

　新たに情報が公開されたのは、権限昇格の脆弱性（CVE-2024-21888）とサーバーサイド・リクエストフォージェリ（SSRF）の脆弱性（CVE-2024-21893）の2件で、既知の2件と同じくIvanti Connect SecureとIvanti Policy Secureに存在する。Ivantiによれば、CVE-2024-21893の脆弱性を悪用する攻撃が20社未満のユーザーで既に発生したという。

　Ivantiは、ユーザーにセキュリティアップデートの早期適用をアドバイスしている。また、すぐに適用できないユーザー向けの回避策も提供しており、新規に公開した脆弱性の影響を緩和するためのXMLファイルも追加している始した。