Ivantiから2つのゼロデイ脆弱性に対するパッチがリリース 攻撃者の悪用進む：Cybersecurity Dive

Ivanti Connect SecureとIvanti Policy Secureに深刻度の高い脆弱性が2件存在することが分かった。サイバー攻撃者はこれらのゼロデイ脆弱性をつなぎ合わせて、悪質なWebシェルで数千台のデバイスを侵害した。

[David Jones，Cybersecurity Dive]

　ソフトウェア企業のIvantiは2023年12月上旬から、国家との関連が疑われる攻撃者によって悪用されていた「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」における2つの脆弱（ぜいじゃく）性に対するセキュリティパッチをリリースした（注1）。

　これらの脆弱性を悪用することで、数千台のIvantiデバイスが危険にさらされた。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は連邦政府機関に対し、早急な対策を講じるよう緊急指令を出すに至った（注2）。

　Ivantiは、電子メールを用いた声明で以下のように述べた。

　「本日リリースしたパッチには、これらの脆弱性と以前に確認された脆弱性に関する修正が含まれており、追加のバージョンのリリースのために計画されているパッチにも包括的な修正が含まれる予定だ」

中国との関連が疑われる攻撃者によって悪用が進んでいる

　サイバーセキュリティ企業のMandiantとVolexityの研究者によると、中国との関連が疑われる攻撃者は、「CVE-2023-46805」および「CVE-2024-21887」として記載されている2つのオリジナルのゼロデイ脆弱性をつなぎ合わせ（注3）（注4）、悪質なWebシェルで数千台のデバイスを侵害した後、数週間にわたって悪用を続けた。

　IvantiはMandiantと協力して、修正作業を妨害するように設計された追加の脅威活動を特定した。Volexityの研究者は、攻撃者が「Pulse Connect Secure Integrity Checker Tool」を変更していることを発見した。

　CISAは2024年1月30日（現地時間）に、ネットワーク防御者から動きを隠すために、複数の攻撃者が回避策を見つけたと警告した（注5）。Mandiantは「この攻撃者は経済的な動機を持っている」と述べた。

　Mandiantによると、修正後の脅威活動には「Bushwalk」と呼ばれるカスタムのWebシェルが関与しており（注6）、これによって攻撃者はサーバ上でファイルの読み書きができた。

　Mandiantとの調査中に、「CVE-2024-21888」として記載されている特権昇格の脆弱性と（注7）（注8）、「CVE-2024-21893」として記載されているサーバサイドの偽造リクエストの脆弱性という2つの追加の脆弱性が確認された（注9）。

　Ivantiによると、CVE-2024-21893の悪用によって少数の顧客が影響を受けた一方で、同社は「顧客がCVE-2024-21888によって影響を受けたという証拠はない」と述べている。

（注1）Security Update for Ivanti Connect Secure and Ivanti Policy Secure Gateways（ivanti）
（注2）CISA issues emergency directive for federal agencies to mitigate Ivanti vulnerabilities（Cybersecurity Dive）
（注3）CVE-2023-46805 Detail（NIST）
（注4）CVE-2024-21887 Detail（NIS）
（注5）Updated: New Software Updates and Mitigations to Defend Against Exploitation of Ivanti Connect Secure and Policy Secure Gateways（CISA）
（注6）Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation（MANDIANT）
（注7）CVE-2024-21888 Privilege Escalation for Ivanti Connect Secure and Ivanti Policy Secure （ivanti）
（注8）CVE-2024-21388 Detail（NIST）
（注9）CVE-2023-21893 Detail（NIST）

原文へのリンク