脆弱性報告を無視したIvanti パッチ適用時に新たな脆弱性を生んでしまう：Cybersecurity Dive

Ivantiのリモートアクセスツールに新たな脆弱性が見つかった。この脆弱性はセキュリティ企業から報告を受けたことで発覚したが、Ivanti当初、この発見を信用しなかった。

[David Jones，Cybersecurity Dive]

　ソフトウェア企業のIvantiが、リモートアクセスツール「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」の脆弱（ぜいじゃく）性に対するパッチをリリースしてから2週間が経過したにもかかわらず、脅威アクターによるこれらのツールの悪用は続いている。

急なパッチ適用が新たな脆弱性を招いた

　Ivantiは2024年2月8日（現地時間、以下同）に、「CVE-2024-22024」として識別されている新しい脆弱性を内部プロセスによって発見したとの主張を撤回した（注1）（注2）。この脆弱性は、シンガポールを拠点とするセキュリティ企業watchTowrによって発見されたが、IvantiはwatchTowrによる発見を信用しなかった。

　Ivantiの広報担当者は、電子メールで次のように述べた。

　「当初、私たちは内部レビューにおいて問題のコードを発見した。その直後、watchTowrがCVE-2024-22024に関して情報開示プログラムを通じて連絡してきた。これについて私たちは初めから認めるべきだった」

　最新の脆弱性は、共通脆弱性識別子（CVE）が発見されるプロセスのダイナミックさと複雑さを強調している。

　Ivantiによると、この脆弱性にはIvanti Connect Secureや「Ivanti Policy Secure、ZTA Gateway」に使用されているXMLベースの言語が関連しており、攻撃者は、外部ファイルの参照機能を利用した攻撃を実行している（注3）。また、攻撃者は認証を利用せずに制限されたリソースにアクセスできるようだ。

　watchTowrの研究者であるケビン・ボーモント氏は裏付けられた脆弱性の発見を認めなかったとしてIvantiを非難した（注4）（注5）。同氏によると、緩和策を実施する過程で新たな欠陥が生まれる可能性があるという。

　watchTowrのベンジャミン・ハリス氏（創設者兼CEO）は、インタビューの中で次のように述べている。

　「私たちが繰り返し目にしてきたのは、これらのパッチを急いで導入すると、新たな脆弱性が生じるという事態だ」

　非営利のセキュリティ組織The Shadowserver Foundationは2024年2月12日に「新たに発見された脆弱性の悪用が観測され始めており、以前に発見された脆弱性に関する脅威活動も続いている」と報告した（注6）。

（注1）CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure（ivanti）
（注2）CVE-2024-22024（CVE）
（注3）CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure（ivanti）
（注4）Ivanti Connect Secure CVE-2024-22024 - Are We Now Part Of Ivanti?（Labs）
（注5）@GossiTheDog（X）
（注6）@Shadowserver（X）

原文へのリンク