Ivanti社は金曜日、同社のクラウド・サービス・アプライアンス(CSA)ソリューションに存在する深刻度の高い脆弱性が、現在攻撃において積極的に悪用されていることを確認した。
「9月10日に公表した時点では、この脆弱性を悪用されている顧客は確認されていませんでした。9月13日のアップデートの時点では、公開後、限られた数の顧客に悪用が確認されています」と、Ivantiは8月のアドバイザリに追加したアップデートで述べています。
「Ivanti が推奨するように、ETH-0 を内部ネットワークとするデュアルホームの CSA 構成は、悪用のリスクが大幅に低下します。
Ivanti は管理者に対し、悪用の試みを検出するために、新規または変更された管理者ユーザのコンフィギュレーション設定とアクセス権限を確認するよう助言している。常に一貫しているわけではありませんが、ローカル・システムのブローカー・ログに記録されている場合もあります。また、EDRやその他のセキュリティ・ソフトウェアからのアラートを確認することも推奨される。
このセキュリティ上の欠陥(CVE-2024-8190)により、管理者権限を持つリモートの認証済み攻撃者は、コマンドインジェクションを通じて、Ivanti CSA 4.6を実行している脆弱なアプライアンス上でリモートでコードを実行される可能性があります。
Ivanti は、顧客に CSA 4.6.x (End-of-Life ステータスに到達) から CSA 5.0 (まだサポート中) にアップグレードするよう助言しています。
「CSA 4.6 Patch 518 をご利用のお客様は、Patch 519 にアップデートすることも可能です。しかし、この製品はサポートが終了しているため、CSA 5.0 にアップグレードすることをお勧めします。すでにCSA 5.0を使用している顧客は、これ以上何もする必要はありません」と同社は付け加えた。
Ivanti CSAは、外部ユーザが内部エンタープライズ・リソースに安全にアクセスするためのゲートウェイとして機能するセキュリティ製品である。
連邦政府機関、10月4日までにパッチ適用を命令
金曜日、CISAはまた、CVE-2024-8190 Ivanti CSAの脆弱性をKnown Exploited Vulnerabilitiesカタログに追加した。BOD(Binding Operational Directive)22-01によって義務付けられているように、連邦民間行政機関(FCEB)は、10月4日までに3週間以内に脆弱性のあるアプライアンスを保護しなければならない。
「この種の脆弱性は、悪意のあるサイバー・アクターにとって頻繁な攻撃ベクトルであり、連邦政府に重大なリスクをもたらす」とCISAは警告している。
今週初め、火曜日、Ivanti社は、同社のEndpoint Managementソフトウェア(EPM)において、認証されていない攻撃者がコア・サーバー上でリモート・コードを実行できる最大重大度の欠陥を修正した。
また同日、Ivanti EPM、Workspace Control (IWC)、Cloud Service Appliance (CSA)に存在する、重大度の高い、あるいは重大な欠陥20件近くを修正した。
Ivanti社によると、同社はここ数カ月で社内のスキャンとテスト機能を強化するとともに、潜在的なセキュリティ問題に迅速に対処するため、責任ある情報開示プロセスの改善にも取り組んでいるという。
CVEの責任ある発見と開示は『健全なコード解析とテスト・コミュニティの証』であるというCISAの声明に同意します」とIvantiは述べている。
Ivanti社は世界中に7,000社以上のパートナーを持ち、その製品は40,000社以上の企業でシステムやIT資産の管理に利用されている。
Comments