Ivanti

イメージミッドジャーニー

本日、Ivantiは、限られた数の顧客を標的とした攻撃において、脅威行為者が別のクラウド・サービス・アプライアンス(CSA)のセキュリティ欠陥を悪用していると警告した。

CVE-2024-8963として追跡されているこの管理者バイパスの脆弱性は、パストラバーサル脆弱性によって引き起こされます。悪用に成功すると、リモートの認証されていない攻撃者が、脆弱な CSA システム(企業ユーザーに内部ネットワーク・リソースへの安全なアクセスを提供するゲートウェイとして使用される)の制限された機能にアクセスできるようになります。

攻撃者は、CVE-2024-8963 とCVE-2024-8190(前回修正され、金曜日にアクティブに悪用されているとしてタグ付けされた CSA コマンド・インジェクションの重大性の高いバグ)を連鎖させたエクスプロイトを使用して、管理者認証をバイパスし、パッチが適用されていないアプライアンス上で任意のコマンドを実行しています。

「この脆弱性は、Ivanti が 9 月 13 日に公表した悪用について調査している最中に発見されました。

「この脆弱性の根本的な原因を評価していたところ、パッチ 519 に含まれていた機能削除の一部で、この問題が偶発的に対処されていたことが判明しました。

Ivanti社は、管理者に対し、悪用の試みを検出するために、エンドポイント検出および応答(EDR)またはその他のセキュリティ・ソフトウェアからのアラート、新規または変更された管理ユーザーの構成設定およびアクセス権限を確認するよう助言している。

また、eth0 を内部ネットワークとしてデュアルホーム化された CSA を構成し、悪用されるリスクを大幅に低減する必要があります。

「侵害が疑われる場合は、パッチ 519(2024 年 9 月 10 日リリース)を適用して CSA を再構築することを Ivanti は推奨します。可能であれば、CSA 5.0に移行することを強くお勧めします。

「Ivanti CSA 4.6はサポートが終了し、OSやサードパーティのライブラリに対するパッチは提供されなくなりました。さらに、9月10日にリリースされた修正が、Ivantiが同バージョンにバックポートする最後の修正となります。

連邦政府機関は早急にパッチを

CISAはまた、CVE-2024-8190およびCVE-2024-8963のIvanti CSAの欠陥を、Known Exploited Vulnerabilitiesカタログに追加した。

連邦民間行政機関(FCEB)は現在、拘束的運用指令(BOD)22-01の要求に従い、脆弱性のあるアプライアンスにそれぞれ10月4日と10月10日までに3週間以内にパッチを当てなければならない。

同社は先週、社内のスキャンとテスト能力を強化し、潜在的なセキュリティ問題に迅速に対処するため、責任ある情報開示プロセスを改善していると発表した。

ここ数カ月、Ivantiのいくつかの欠陥は、同社のVPNアプライアンスや ICS、IPS、ZTAゲートウェイを標的とした広範な攻撃でゼロデイとして悪用さ れた

これは発見と開示の急増を引き起こし、CVEの責任ある発見と開示は『健全なコード解析とテスト・コミュニティの証』であるというCISAの声明に同意します」とIvanti社は認めている。

CISAとFBIは5月、技術系企業に対し、出荷前にソフトウェア製品を見直し、パス・トラバーサル脆弱性を排除するよう促した。

Ivanti社は、世界中に7,000社以上のパートナーを持ち、40,000社以上の企業がシステムやIT資産の管理に同社の製品を使用しているという。