Ivanti製品の脆弱性についてCISAが調査を公表 一部Ivanti社の主張と食い違いCybersecurity Dive

IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。

» 2024年03月24日 08時00分 公開
[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 2024年2月29日(現地時間、以下同)に発表された勧告によると、米国連邦捜査局(FBI)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、Five Eyesなどによって構成される情報連携パートナー機関は(注1)、リモートアクセスツール「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」の重大な脆弱(ぜいじゃく)性が依然として活発に悪用されていると警告している。

 この世界的な警告は、Ivantiがセキュリティパッチと関連する緩和策を発表してから数週間後に出されたものだ。関係者によると、ユーザーがデバイスを工場出荷時の状態にリセットしても(注2)、攻撃者は永続的なアクセスを得られる可能性がある。

情報連携パートナー機関とIvanti、食い違う主張

 サイバー攻撃者はまた、整合性チェックツール「Ivanti Integrity Checker Tool」を回避する方法を見つけ出し、特定のケースで侵入を検出できないようにしているという。

 サイバー攻撃者は、2023年12月上旬以来、Ivanti Connect Secureおよびその他の製品の重大なゼロデイ脆弱性を悪用してきた。本勧告は、認証の回避に関する脆弱性である「CVE-2023-46805」(注3)、コマンドインジェクションに関する脆弱性である「CVE-2024-21887」(注4)、サーバサイドリクエストフォージェリに関する脆弱性である「CVE-2024-21893」を特に指摘している(注5)。

 国家との関連が疑われる攻撃者は脆弱性を悪用し、認証方法を回避し、永続的なアクセスを獲得し、Webシェルのインストールを含む悪質な活動に従事している。

 Mandiantは2024年2月26日の週の初めに(注6)、「サイバー攻撃者はアクセスの持続性を確立するために、自給自足型の攻撃テクニックと斬新なマルウェアを使用している」と述べた。顧客が工場出荷時の状態へのリセット、パッチ適用、システムアップグレードを開始した後でも、ハッカーは、その活動を隠蔽(いんぺい)しようとした。

 CISAのエリック・ゴールドスタイン氏(アシスタント・エグゼクティブディレクター)は、この勧告に関連する声明の中で、「これらの脆弱性が最初に公表されて以来、CISAと私たちのパートナーは、実用可能なガイダンスを提供し、影響を受けた被害者を支援するための緊急の取り組みを実施してきた」と述べている。

 Ivantiは、声明で「CISAとその他の当局による調査結果を歓迎するが、顧客が工場出荷時の状態にリセットし、推奨されるセキュリティアップデートを実施した後に、脅威が持続することはない」とコメントした。Ivantiは、CISAの調査結果は実験室でのテストに基づくものであり(注7)、通常の環境を再現していないと強調した。

 Ivantiは加えて「現在の分析によると、実験室における環境以外では、リセットとアップデートによってボックスとの接続を切断できるため、実際の顧客環境においてハッカーは永続的なアクセスを得られないと考えている」とも主張した。

 しかしXage Securityのジェフ・マットソン氏(CEO)は、「この調査結果は、主要産業で広く使われているセキュリティ製品の弱点を物語っている」と指摘した。

 「これは炭鉱において危険を知らせるカナリアのようなものだ。VPNのようなセキュリティ製品は最新のソフトウェアではない。脆弱性の領域を専門とする研究者は、Ivanti VPNには20年以上アップデートされていないオープンソースソフトウェアの実行可能なファイルを集めたモジュールがあることを明らかにした。これはソフトウェアの世界では先史時代の遺物であり、攻撃に対して非常に脆弱だ」(マットソン氏)

© Industry Dive. All rights reserved.