IvantiのVPNに脆弱性、1700台以上で侵害の証拠を確認 日本も標的に:セキュリティニュースアラート
Volexityは「Ivanti Connect Secure VPN」の脆弱性を悪用した攻撃が広がっていると伝えた。日本を含む全世界で被害が確認されている。
Volexityは2024年1月15日(現地時間)、「Ivanti Connect Secure VPN」の脆弱(ぜいじゃく)性を悪用したサイバー攻撃が広がっていると指摘した。
訂正のお知らせ
本文中の「ICS」の定義が誤っており、誤解を招く表現となっていたことをお詫び申し上げます。タイトルおよび本文の該当箇所を訂正しました(2024年1月19日12時57分更新)。
Ivanti Connect Secure VPN攻撃が拡大中
被害者は中小企業から大企業まで多岐にわたっており、全世界1700台以上のデバイスで侵害の証拠が見つかっている。Volexityによると、主要な脅威アクター以外の攻撃者もエクスプロイトを実行できる状況にあり、積極的にデバイスを侵害しようとしており注意が必要だ。
VolexityはIvanti Connect Secure VPNを標的としたエクスプロイトの進行状況を以下のタイムラインで伝えている。
- 2023年12月3日: 最初のエクスプロイトを観測
- 2024年1月10日: VolexityがCVE-2023-46805およびCVE-2024-21887に関するエクスプロイトの詳細情報を公開
- 2024年1月11日: 脅威アクター「UTA0178」がエクスプロイトを悪用して大量の侵害を試みている証拠を発見
- 2024年1月12日: Mandiantが同エクスプロイトに関する情報を公開
- 2024年1月15日: Veloxityが少なくとも1700台のIvanti Connect Secure VPNで大規模な悪用と侵害の疑いの証拠があることを開示
Volexityは当初、このサイバー攻撃のスキャンを実施し、少数の組織に限定されたものだと結論付けた。しかし後にこのサイバー攻撃が複数のデバイスにも適用されていることを確認した。さらに調査を続けた結果、1700台以上のVPNアプライアンスが侵害を受けていることを発見したという。
サイバー攻撃を受けたIvanti Connect Secure VPNは日本にも存在が確認されている。このサイバー攻撃は情報が公開された2024年1月15日(現地時間)時点でも継続している。
Volexityはこのサイバー攻撃が、現在確認されているよりも多く、数千台のマシンに影響を与えており、現在も感染が広がっている可能性があるとして、アップデートや緩和策の実施、整合性チェックツールの実行、侵害を受けている場合は侵害後の対応に取り組むことを推奨した。
関連記事
- SSHプロトコルを標的にした「Terrapin攻撃」 インターネットのSSHサーバの半数以上が脆弱だと判明
The Shadowserver FoundationはSSHプロトコルを標的とする新しいサイバー攻撃手法「Terrapin攻撃」に対し、インターネット上のSSHサーバの約52%が脆弱だと発表した。 - Pythonの機械学習ライブラリ「PyTorch」に脆弱性 研究者が発見
Pythonの機械学習ライブラリ「PyTorch」に脆弱性が見つかった。GitHubのデプロイシステムと組み合わせることで悪用が可能になるという。 - 2024年版、アカウントの正しい守り方を考える
米国証券取引委員会のXアカウントが乗っ取り被害に遭いました。こうしたアカウント窃取はXだけでなく全てのサービスで起こり得るでしょう。これを防ぐために私たちができることを考えます。 - QNAP製品に複数の脆弱性 深刻度は「重要」(High)に分類
QNAP SystemsはQTS 5.1.x、QuTS hero h5.1.x、QuMagie 2.2.x、Video Station 5.7.xなどの自社製品について脆弱性を発表した。修正版がリリースされており、適用が推奨される。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.