米国のITソフトウェア会社Ivantiは、攻撃で積極的に悪用されている3つの新しいクラウド・サービス・アプライアンス(CSA)のゼロデイを修正するセキュリティ・アップデートをリリースした。
Ivantiが火曜日に明らかにしたように、攻撃者は3つのセキュリティ欠陥を、9月にパッチが適用された別のCSAのゼロデイと連鎖させている。
これらの脆弱性の悪用に成功すると、リモートの攻撃者は SQL インジェクションによって SQL 文を実行したり、コマンド・インジェクションによって任意のコードを実行したり、脆弱な CSA ゲートウェイ(企業ユーザーに内部ネットワーク・リソースへの安全なアクセスを提供するために使用される)のパス・トラバーサルの弱点を悪用してセキュリティ制限を回避したりすることができます。
「CVE-2024-9379、CVE-2024-9380、またはCVE-2024-9381がCVE-2024-8963と連鎖している場合に悪用される、CSA 4.6パッチ518以前を実行している限られた数の顧客を認識している」とIvanti社は警告している。
同社によると、この欠陥は CSA 5.0.1 以前のバージョンに影響するとのことで、これらの攻撃でシステムが侵害されたと思われる顧客は、CSA アプライアンスをバージョン 5.0.2 で再構築することを推奨している。
悪用の試みを検出するには、管理者はエンドポイント検出応答(EDR)またはその他のセキュリティ・ソフトウェアからのアラートを確認する必要があります。また、管理者ユーザの新規作成または変更をチェックすることで、侵害の兆候を観察することもできます。
CSA 4.6 は、9 月に最後のセキュリティ・パッチを適用した製造終了製品であるため、このバージョンを実行している顧客は、できるだけ早く CSA 5.0.2 にアップグレードすることをお勧めします。
「さらに、CSA 5.0 のどのバージョンにおいても、これらの脆弱性の悪用は確認されていないことを、お客様に知っていただくことが重要です」と同社は付け加えた。
複数の Ivanti ゼロデイが活発に悪用中
先月、Ivanti は、脅威行為者が管理者バイパスの脆弱性(CVE-2024-8963)とコマンド・インジェクション・バグ(CVE-2024-8190)を連鎖させて、パッチが適用されていない CSA アプライアンス上で管理者認証をバイパスし、任意のコマンドを実行していると警告した。
CISA は、この 2 つのIvanti の 欠陥をKnown Exploited Vulnerabilities カタログに追加し、10 月 10 日までに脆弱なシステムを保護するよう連邦政府機関に命じた。
Ivanti社は、テストと内部スキャン機能を強化し、セキュリティ問題に迅速に対処するため、責任ある情報開示プロセスの改善に取り組んでいる。
「Ivanti社は、組織全体でSecure by Designに大規模な投資を行っており、5月にCISA Secure by Designの誓約書に署名しました。
ここ数カ月、IvantiVPNアプライアンスや ICS、IPS、ZTAゲートウェイを標的とした広範な攻撃で、いくつかの欠陥がゼロデイとして悪用された。
Ivanti社によると、同社には7,000社以上のパートナーがおり、40,000社以上の企業が世界中のシステムやIT資産を管理するために同社の製品を使用しているという。
Comments