CISA

サイバーセキュリティ・インフラセキュリティ庁 (CISA) は本日、米国連邦政府機関に対し、Ivanti の Endpoint Manager Mobile (EPMM) (旧名 MobileIron Core) に存在する最大重大度の認証バイパスの脆弱性からシステムを保護するよう警告しました。

ノルウェー国家安全保障局によると、この欠陥は CVE-2023-35078 として追跡され、 ノルウェーの 12 省庁が使用するソフトウェア プラットフォームをハッキングするゼロデイ攻撃として悪用されました。

悪用に成功すると、認証されていない攻撃者が特定の API パスにリモートからアクセスして、名前、電話番号、その他のモバイル デバイスの詳細などの個人識別情報 (PII) を盗むことが可能になります。

また、EPMM 管理アカウントの作成など、侵害されたデバイスの構成変更を行うこともできます。これにより、脆弱なシステムにさらに変更を加えるために必要な権限が付与されます。

Ivanti はまた、 このバグが攻撃に積極的に悪用されていることを確認し、システムを完全に保護するには「直ちに行動を起こす」ことが重要であると顧客に警告しました。

同社はまだ侵害の痕跡 (IOC) を公表してませんが、セキュリティの専門家や研究者は、脆弱性を悪用するために必要な脆弱なエンドポイントに関する情報が含まれており、脅威アクターがすぐに独自のエンドポイントを作成できると述べています。悪用され、攻撃がさらにエスカレートします。

これを独自に検証することはできませんでしたが、顧客は、CVE-2023-35078 の脆弱性に関する詳細を求める際に、Ivanti が機密保持契約に署名するよう要求したと主張しています。

Shodan によると、現在、約 2,900 の MobileIron ユーザー ポータルがインターネット上でアクセス可能です。そのうち、 約 30 件は米国の地方および州政府機関に属しています。

この状況を考慮すると、すべてのネットワーク管理者は、潜在的な攻撃からシステムを保護するために、Ivanti EPMM (MobileIron) インストールを直ちに最新バージョンにアップグレードすることが重要です。

インターネット上に公開された MobileIron ユーザー ポータル
インターネット上に公開された MobileIron ユーザー ポータル (Shodan)

連邦政府機関は8月15日までにパッチを適用するよう命令

米国連邦文民行政府機関 (FCEB) は、火曜日にCISA の悪用された既知の脆弱性のリストに追加された CVE-2023-35078 欠陥を対象とした攻撃からデバイスを保護するための期限を 8 月 15 日までの 3 週間に定めています。

2021 年 11 月に発行された拘束力のある運用指令 (BOD 22-01)に基づき、連邦政府機関はネットワーク内で脆弱なデバイスをスキャンし、CISA の KEV カタログに追加されたセキュリティ上の欠陥に対処することが義務付けられています。

このカタログは主に米国連邦機関に関するものですが、民間企業も、CISA の攻撃で悪用されるバグのリストに記載されているすべての脆弱性に対して優先順位を付けてパッチを適用することを強くお勧めします。

CISAは本日、「この種の脆弱性は悪意のあるサイバー攻撃者による頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらす」と警告した

米国サイバーセキュリティ局はまた、攻撃に悪用された2つの重大なセキュリティ欠陥(そのうちの1つはゼロデイ)に対して、 Adobe ColdFusionサーバーにパッチを適用するために連邦政府機関に3週間の猶予を与えた。

CISAは先週、未知の攻撃者がNetScaler ADCとGatewayのゼロデイRCE脆弱性(CVE-2023-3519)を悪用した後、 重要インフラ組織のネットワークに侵入してActive Directoryデータを盗んだと警告した。