Ivanti CSAに3件のゼロデイ脆弱性 リモートコード実行が可能になるため注意:Cybersecurity Dive
Ivantiのインターネットアプライアンス「Ivanti Cloud Service Appliance」に3件のゼロデイ脆弱性が見つかった。これらを悪用すると、攻撃者は管理者権限を得て制限を回避したり、リモートでコードを実行したりできる。
IT管理ソリューションを提供するIvantiは、2024年10月8日(現地時間、以下同)のブログ投稿で(注1)、インターネットアプライアンス「Ivanti Cloud Service Appliance」(以下、CSA)における3件のゼロデイ脆弱(ぜいじゃく)性に対するアップデートをリリースしたと発表した。ハッカーはこれらの脆弱性を、以前に公開されたパストラバーサルに関連する脆弱性と組み合わせて使用していた。
Ivanti製品に見つかった複数の脆弱性 特に注意したいものは
これらの脆弱性を悪用すると、攻撃者は管理者権限を得て制限を回避したり、リモートでコードを実行したり、任意のSQL文を実行したりできる。これらの脆弱性は「CVE-2024-9379」(注2)、「CVE-2024-9380」(注3)、「CVE-2024-9381」としてリストアップされている(注4)。
Ivantiは「CVE-2024-8963」として掲載されている重大な脆弱性に対処するパッチを2024年9月10日に公開した。同社によると、「CVE-2024-8190」として掲載されているOSコマンドインジェクションに関連する脆弱性の悪用について調査していた際に(注5)、パストラバーサルに関連する脆弱性を発見したという。
Ivantiによると、一部の顧客のCSA 4.6において「CVE-2024-8963」に「CVE-2024-9379」または「CVE-2024-9380」を組み合わせる形の悪用が既に確認されているという。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2024年10月9日(注6)、「CVE-2024-9379」と「CVE-2024-9380」を「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)に追加した。同年9月13日以降、Ivantiに関連する6件のCVEがKEVに追加されている。
IvantiはCSA 4.6のサポートを終了している。同製品のセキュリティに対する最後の修正は2024年9月10日に発行された。同社は顧客に対して、CSA 5.0.2へのアップデートを推奨している。
脆弱性の詳細は次の通りだ。
- 「CVE-2024-9379」: 共通脆弱性評価システム(CVSS)スコアは6.5で、CSAの管理Webコンソールに存在するSQLインジェクションに関する脆弱性。リモートで認証された管理者権限を持つ攻撃者は、同脆弱性を悪用して任意のSQL文を実行できる
- 「CVE-2024-9380」: CVSSスコアは7.2で、OSコマンドインジェクションに関する脆弱性。リモートで認証された管理者権限を持つ攻撃者は、同脆弱性を悪用してリモートコードを実行できる
- 「CVE-2024-9381」: CVSSスコアは7.2で、パストラバーサルに関する脆弱性。リモートで認証された管理者権限を持つ攻撃者は、同脆弱性を悪用して制限を回避できる
2024年9月中旬以降、同社とその顧客は一連の製品における広範な悪用とCVEの開示に対処している。2024年9月30日の週にIvantiは、Ivanti Endpoint Managerにおける重大な脆弱性の積極的な悪用について警告した(注7)。
2024年10月8日に発表したセキュリティ勧告の中で(注8)、Ivantiは同年の初めに、より安全な製品を作るために社内プロセスを全面的に見直すと約束したことを認めた。
Ivantiは、ブログ投稿で「ここ数カ月の間に、内部スキャンや手動の悪用、テスト機能を強化し、責任ある開示プロセスを改善して、潜在的な問題を迅速に発見し、対処できるようにした」とコメントしている。
(注1)Security Advisory Ivanti CSA (Cloud Services Application) (CVE-2024-9379, CVE-2024-9380, CVE-2024-9381)(ivanti)
(注2)CVE-2024-9379 Detail(NIST)
(注3)CVE-2024-9380 Detail(NIST)
(注4)CVE-2024-9381 Detail(NIST)
(注5)Attackers exploit second Ivanti Cloud Service Appliance flaw for more access(Cybersecurity Dive)
(注6)Known Exploited Vulnerabilities Catalog(CISA)
(注7)Ivanti up against another attack spree as hackers target its endpoint manager(Cybersecurity Dive)
(注8)October Security Update(ivanti)
© Industry Dive. All rights reserved.
関連記事
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。世界中のLinuxサーバを狙うステルス型マルウェア「perfctl」が登場 検出方法は?
Aqua SecurityはLinuxサーバを標的にする新しいステルス型のマルウェア「perfctl」を発見した。perfctlはシステム内で自身を隠蔽する高度な能力を持っており、システム管理者らの検出を回避する動きを見せるという。企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。