Ivantiは、同社のエンドポイント管理ソフトウェア(EPM)に存在する、認証されていない攻撃者がコアサーバー上でリモートコードを実行される可能性のある最大深刻度の脆弱性を修正した。
Ivanti EPMは、管理者がWindows、macOS、Chrome OS、IoTオペレーティング・システムなど、さまざまなプラットフォームを実行するクライアント・デバイスを管理するのに役立ちます。
セキュリティ上の欠陥(CVE-2024-29847)は、Ivanti EPM 2024ホットパッチおよびIvanti EPM 2022サービスアップデート6(SU6)で対処されたエージェントポータルの信頼できないデータのデシリアライズの弱点が原因です。
「悪用に成功すると、EPMコアサーバーへの不正アクセスにつながる可能性がある」と、同社は本日発表したアドバイザリーで述べている。
現時点では、Ivanti社は「公開時点で、これらの脆弱性によって悪用されている顧客は認識していない」と付け加えた。現在のところ、この脆弱性を悪用した攻撃は確認されておらず、この脆弱性を悪用した攻撃の指標となるようなものは存在しない」と述べている。
また本日、Ivanti EPM、Workspace Control(IWC)、Cloud Service Appliance(CSA)において、パッチが適用されるまでに悪用されたことのない、深刻度が高く重要な脆弱性をさらに20件近く修正した。
同社は1月に、Ivanti EPMの同様のRCE脆弱性(CVE-2023-39336)にパッチを適用しており、この脆弱性を悪用してコアサーバーにアクセスしたり、登録済みのデバイスを乗っ取ったりすることが可能だった。
セキュリティ改善により修正された欠陥の増加
Ivanti社は、ここ数カ月で内部スキャン、手動による悪用、テスト機能を強化し、潜在的な問題に迅速に対処するために責任ある開示プロセスの改善にも取り組んでいると述べた。
CVEの責任ある発見と開示は『健全なコード解析とテスト・コミュニティの証』であるというCISAの声明に同意します」とIvanti社は述べた。
この声明は、近年Ivantiの複数のゼロデイが広範囲にわたって悪用されていることを受けたものです。例えば、Ivanti VPNアプライアンスは2023年12月以降、 ゼロデイとしてCVE-2024-21887コマンドインジェクションとCVE-2023-46805認証バイパス欠陥を連鎖させたエクスプロイトを使用して標的になっている。
同社はまた、2月に3つ目のゼロデイ(現在CVE-2024-21893として追跡されているサーバサイドリクエストフォージェリのバグ)が 大量に悪用され、攻撃者が脆弱なICS、IPS、ZTAゲートウェイの認証をバイパスできるようになったことを警告している。
Ivanti社は、世界中に7,000社以上のパートナーを持ち、40,000社以上の企業がIT資産やシステムの管理に同社の製品を利用しているという。
Comments