本日、Ivanti 社は、同社のクラウドサービスアプライアンス(CSA)ソリューションに新たな最大重大度の認証バイパスの脆弱性が存在することを顧客に警告しました。
このセキュリティ上の欠陥(CVE-2024-11639 として追跡され、CrowdStrike の Advanced Research Team によって報告された)は、リモートの攻撃者が、Ivanti CSA 5.0.2 またはそれ以前のバージョンを実行している脆弱なアプライアンス上で、別のパスまたはチャネルを使用して認証を回避することにより、認証またはユーザーによる操作を必要とせずに管理者権限を取得することを可能にします。
Ivanti は、管理者に対し、このサポート文書で入手可能な詳細情報を使用して、脆弱性のあるアプライアンスを CSA 5.0.3 にアップグレードするよう助言しています。
「Ivanti は、これらの脆弱性が公開前に悪用されたことを認識していません。これらの脆弱性は、当社の責任ある情報公開プログラムを通じて公開されたものです。「現在のところ、これらの脆弱性が公に悪用され、侵害の指標となるような事例はありません。
本日、Ivantiは、Desktop and Server Management (DSM)、Connect Secure and Policy Secure、Sentry、およびPatch SDK製品に存在する、中程度、高程度、および重大な脆弱性にパッチを適用した。しかし、火曜日に発表されたセキュリティ・アドバイザリに記載されているように、これらの脆弱性が悪用されたという証拠はない。
CVE-2024-11639は、ここ数カ月でパッチが適用された6番目のCSAセキュリティ脆弱性であり、過去5つの脆弱性にはパッチが適用されている:
- 9月CVE-2024-8190(リモート・コード実行)
- 9月CVE-2024-8963(管理者認証バイパス)
- 10月CVE-2024-9379, CVE-2024-9380, CVE-2024-9381(SQL インジェクション、OS コマンドインジェクション、パストラバーサル)
同社は9月にも、CVE-2024-8190とCVE-2024-8963の欠陥がすでに攻撃の標的になっていると顧客に警告している。
さらに、10月に修正された3つのセキュリティ上の欠陥が、CVE-2024-8963 CSA管理者バイパスと連鎖して、SQLインジェクションによるSQL文の実行、セキュリティ制限のバイパス、コマンドインジェクションによる任意のコードの実行が行われていることを管理者に警告した。
Ivanti社は、テストと内部スキャン機能を強化し、セキュリティ・バグに迅速にパッチを当てるため、責任ある開示プロセスを改善しているという。
IvantiのVPNアプライアンスや ICS、IPS、ZTAゲートウェイを標的とした今年初めのキャンペーンでは、他にもいくつかの脆弱性がゼロデイとして悪用され、広範な攻撃を受けた。
Ivantiは、同社の製品を使用してシステムやIT資産を管理している4万社以上の企業にサービスを提供しています。
Comments