Ivanti

本日、Ivanti は、Virtual Traffic Manager (vTM) アプライアンスに影響する、攻撃者が不正な管理者アカウントを作成する可能性のある重要な認証バイパスの脆弱性にパッチを適用するよう顧客に促しました。

Ivanti vTM は、ソフトウェアベースのアプリケーションデリバリコントローラ(ADC)であり、ビジネスクリティカルなサービスをホスティングするためのアプリケーション中心のトラフィック管理とロードバランシングを提供します。

CVE-2024-7593 として追跡されているこの認証バイパスの脆弱性は、認証アルゴリズムの不正な実装に起因しており、リモートの認証されていない攻撃者は、インターネットに公開された vTM 管理パネルで認証をバイパスすることができます。

「Ivanti は、重要な脆弱性に対処した Ivanti Virtual Traffic Manager (vTM) のアップデートをリリースしました。悪用に成功すると、認証がバイパスされ、管理者ユーザーが作成される可能性があります

「公開時点では、この脆弱性を悪用された顧客の存在は認識していない。しかし、Proof of Concept(概念実証)は公開されており、顧客にはパッチを適用した最新バージョンにアップグレードするよう促している。”

Ivanti 社では、vTM の管理インターフェイスを内部ネットワークまたはプライベート IP アドレスにバインドしてアクセスを制限することで、攻撃対象領域を減らし、潜在的な悪用の試みをブロックすることを管理者に推奨しています。

管理者がプライベート/社内ネットワーク経由で管理インターフェイスにアクセスするのを制限するには、以下の手順を実行する必要がある:

  1. System(システム)]→[Security(セキュリティ)]に移動し、ページの[Management IP Address(管理 IP アドレス)]と[Admin Server Port(管理サーバーポート)]セクションのドロップダウンをクリックします。
  2. bindip “ドロップダウンで、管理インターフェイスのIPアドレスを選択するか、”bindip “設定の真上の設定を使用して、アクセスを信頼できるIPアドレスに制限し、インターフェイスにアクセスできるユーザーをさらに制限します。
Limiting admin access to management interface
管理インターフェイスへの管理者アクセスを制限する(Ivanti)

セキュリティ上の欠陥は、Ivanti vTM 22.2R1および22.7R2で修正されており、今後数週間で、サポートされている残りのバージョンにパッチがリリースされる予定です。

Ivanti社によれば、CVE-2024-7593の認証バイパスが攻撃に悪用されたという証拠はないが、管理者に対しては、GUI経由で追加された新しい「user1」または「user2」管理ユーザー、あるいは一般公開されている悪用コードを使用して追加された新しい「user1」または「user2」管理ユーザーについて、監査ログ出力をチェックするよう助言している。

また本日、Ivanti 社はIvanti ITSM on-prem および Neurons for ITSM バージョン 2023.4 以前における情報漏えいの脆弱性(CVE-2024-7569)を直ちに修正するよう管理者に警告した。この脆弱性により、認証されていない攻撃者がデバッグ情報を介してOIDCクライアントのシークレットを取得する可能性がある。

同社は2月にも、Ivanti Connect Secure、Policy Secure、およびZTAゲートウェイに影響を及ぼす認証バイパスの欠陥(CVE-2024-22024)にパッチを適用し、脆弱なアプライアンスを直ちに保護するよう管理者に呼びかけている。

Ivanti VPNアプライアンスは、CVE-2023-46805認証バイパスとCVE-2024-21887コマンドインジェクションの欠陥をゼロデイとして連鎖させたエクスプロイトを使用して、2023年12月から攻撃を受けている。

同社はまた2月に3つ目のゼロデイ(CVE-2024-21893として追跡されているサーバーサイドリクエストフォージェリのバグ)が 大量に悪用されている ことを警告しており、脅威者はパッチが適用されていないICS、IPS、およびZTAゲートウェイで認証をバイパスすることができます。