Ivanti製品の脆弱性についてCISAが調査を公表 一部Ivanti社の主張と食い違い:Cybersecurity Dive
IvantiはCISAの調査結果の一部に反発しており、顧客が推奨される緩和策に従った場合、ハッカーは永続的なアクセスを得ることができなかったと主張している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
2024年2月29日(現地時間、以下同)に発表された勧告によると、米国連邦捜査局(FBI)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、Five Eyesなどによって構成される情報連携パートナー機関は(注1)、リモートアクセスツール「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」の重大な脆弱(ぜいじゃく)性が依然として活発に悪用されていると警告している。
この世界的な警告は、Ivantiがセキュリティパッチと関連する緩和策を発表してから数週間後に出されたものだ。関係者によると、ユーザーがデバイスを工場出荷時の状態にリセットしても(注2)、攻撃者は永続的なアクセスを得られる可能性がある。
情報連携パートナー機関とIvanti、食い違う主張
サイバー攻撃者はまた、整合性チェックツール「Ivanti Integrity Checker Tool」を回避する方法を見つけ出し、特定のケースで侵入を検出できないようにしているという。
サイバー攻撃者は、2023年12月上旬以来、Ivanti Connect Secureおよびその他の製品の重大なゼロデイ脆弱性を悪用してきた。本勧告は、認証の回避に関する脆弱性である「CVE-2023-46805」(注3)、コマンドインジェクションに関する脆弱性である「CVE-2024-21887」(注4)、サーバサイドリクエストフォージェリに関する脆弱性である「CVE-2024-21893」を特に指摘している(注5)。
国家との関連が疑われる攻撃者は脆弱性を悪用し、認証方法を回避し、永続的なアクセスを獲得し、Webシェルのインストールを含む悪質な活動に従事している。
Mandiantは2024年2月26日の週の初めに(注6)、「サイバー攻撃者はアクセスの持続性を確立するために、自給自足型の攻撃テクニックと斬新なマルウェアを使用している」と述べた。顧客が工場出荷時の状態へのリセット、パッチ適用、システムアップグレードを開始した後でも、ハッカーは、その活動を隠蔽(いんぺい)しようとした。
CISAのエリック・ゴールドスタイン氏(アシスタント・エグゼクティブディレクター)は、この勧告に関連する声明の中で、「これらの脆弱性が最初に公表されて以来、CISAと私たちのパートナーは、実用可能なガイダンスを提供し、影響を受けた被害者を支援するための緊急の取り組みを実施してきた」と述べている。
Ivantiは、声明で「CISAとその他の当局による調査結果を歓迎するが、顧客が工場出荷時の状態にリセットし、推奨されるセキュリティアップデートを実施した後に、脅威が持続することはない」とコメントした。Ivantiは、CISAの調査結果は実験室でのテストに基づくものであり(注7)、通常の環境を再現していないと強調した。
Ivantiは加えて「現在の分析によると、実験室における環境以外では、リセットとアップデートによってボックスとの接続を切断できるため、実際の顧客環境においてハッカーは永続的なアクセスを得られないと考えている」とも主張した。
しかしXage Securityのジェフ・マットソン氏(CEO)は、「この調査結果は、主要産業で広く使われているセキュリティ製品の弱点を物語っている」と指摘した。
「これは炭鉱において危険を知らせるカナリアのようなものだ。VPNのようなセキュリティ製品は最新のソフトウェアではない。脆弱性の領域を専門とする研究者は、Ivanti VPNには20年以上アップデートされていないオープンソースソフトウェアの実行可能なファイルを集めたモジュールがあることを明らかにした。これはソフトウェアの世界では先史時代の遺物であり、攻撃に対して非常に脆弱だ」(マットソン氏)
(注1)CISA and Partners Release Advisory on Threat Actors Exploiting Ivanti Connect Secure and Policy Secure Gateways Vulnerabilities(CISA)
(注2)Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways(CISA)
(注3)CVE-2023-46805 Detail(NIST)
(注4)CVE-2024-21887 Detail(NIST)
(注5)CVE-2024-21893 Detail(NIST)
(注6)Ivanti Connect Secure hackers hide in plain sight, evading protections(Cybersecurity Dive)
(注7)Enhanced External Integrity Checking Tool to Provide Additional Visibility and Protection for Customers Against Evolving Threat Actor Techniques in Relation to Previously Disclosed Vulnerabilities(ivanti)
関連記事
マクドナルドで発生した世界規模でのシステム停止 その原因は?
マクドナルドは2024年3月15日に発生した世界的なシステム停止についてその原因を発表した。同問題は本稿執筆時点で解消している。
最高年収2500万円超も夢じゃない 生成AIに並ぶ“稼げる”AIスキルとは?
2024年に入りAIの導入に注力する企業が増えていくにつれて、AIを使いこなせる人材の需要も高まりを見せている。生成AIのスキルを持つ技術者は最高で17万4727ドル(日本円で約2500万円)の平均給与が期待できるという。
“もうファイアウォール企業とは呼ばせない” チェックポイントの新戦略に迫る
チェック・ポイント・ソフトウェア・テクノロジーズはAI活用などを含めた新戦略を発表した。ファイアウォール企業の元祖という従来のイメージをどう覆すのか。
Microsoft、2048bit未満のRSA鍵使用を非推奨に
MicrosoftはWindowsでTLSサーバ認証に使用される全てのRSA証明書について、鍵の長さが2048bit以上であることを必須にすると発表した。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。