Ivanti

CISA は、脆弱性のある Virtual Traffic Manager (vTM) アプライアンスに不正な管理者ユーザーを作成させる可能性のある Ivanti セキュリティの重大な脆弱性を、攻撃において積極的に悪用されるものとしてタグ付けしました。

CVE-2024-7593 として追跡されているこの認証バイパスの欠陥は、認証アルゴリズムの不正な実装に起因しており、インターネット上に公開された vTM の管理パネルにおいて、リモートの認証されていない攻撃者に認証を回避させます。

Ivanti vTM は、ソフトウェアベースのアプリケーションデリバリコントローラ (ADC) であり、ビジネスクリティカルなサービスをホスティングするためのロードバランシングとトラフィック管理を提供します。

「悪用に成功すると、認証がバイパスされ、管理者ユーザーが作成される可能性がある」と、Ivanti社はこの重大な脆弱性にパッチを当てるためのセキュリティ更新プログラムをリリースした際に警告している

同社は、CVE-2024-7593のパッチをリリースした8月13日には、概念実証(PoC)のエクスプロイトコードがすでに利用可能であったと述べているが、積極的なエクスプロイトを確認するためのセキュリティ勧告の更新はまだ行われていない。

しかし、GUI経由で追加された新しい「user1」または「user2」管理者ユーザー、あるいは一般公開されている悪用コードの監査ログ出力をチェックし、侵害の証拠を見つけることを推奨している。

また Ivanti 社は、潜在的な攻撃の試みをブロックし、攻撃対象領域を縮小するために、vTM 管理インターフェイスを内部ネットワークまたはプライベート IP アドレスにバインドすることによって、vTM 管理インターフェイスへのアクセスを制限するよう管理者に助言しています。

Limiting admin access to management interface
管理インターフェイスへのアクセス制限(Ivanti社)

火曜日、CISA はIvanti vTM 認証バイパスの不具合をKnown Exploited Vulnerabilities catalog追加し、積極的に悪用されるものとしてタグ付けした。拘束的運用指令(BOD)22-01)が要求しているように、連邦政府機関は現在、10月15日までに3週間以内にネットワーク上の脆弱なアプライアンスを保護しなければならない。

CISAのKEVカタログは、主に連邦政府機関に対し、早急にパッチを当てるべき脆弱性について警告を発しているが、世界中の民間組織も、進行中の攻撃を阻止するために、このセキュリティ上の欠陥の緩和を優先するよう勧告されている。

ここ数カ月、Ivanti社のいくつかの欠陥は、同社のVPNアプライアンスや ICS、IPS、ZTAゲートウェイを標的とした広範な攻撃でゼロデイとして悪用されて いる また同社は今月初め、脅威行為者が最近パッチが適用された2つのクラウド・サービス・アプライアンス(CSA)の脆弱性を連鎖させ、継続的な攻撃を仕掛けていると警告した。

Ivantiは9月、これらの攻撃を受けて社内のスキャンおよびテスト機能を強化し、潜在的なセキュリティ問題にさらに迅速に対処するため、責任ある情報開示プロセスの改善に現在取り組んでいると述べた

Ivanti社は、全世界に7,000社以上のパートナーを持ち、その製品はシステムおよびIT資産管理のために40,000社以上の企業で使用されている。