CISAとFBIは本日、攻撃者が9月以降にパッチが適用されたIvanti Cloud Service Appliance(CSA)のセキュリティ上の欠陥を悪用し、脆弱なネットワークに侵入していることを警告した。
これらの攻撃で連鎖している脆弱性には、CVE-2024-8963(9月にパッチが適用された管理者認証バイパス)とCVE-2024-8190(同月にパッチが適用されたリモート・コード実行のバグ)が含まれる。他の2つのバグ、CVE-2024-9379(SQLインジェクション)とCVE-2024-9380(リモートコード実行の脆弱性)は、いずれも10月に対処された。
この4つのバグはすべて、以前にもゼロデイ攻撃で悪用されたとタグ付けされている。CISAは、これらのバグを「既知の悪用される脆弱性カタログ」に追加し、連邦民間行政機関(FCEB)に対し、拘束的運用指令(BOD)22-01で義務付けられているとおり、アプライアンスのセキュリティを確保するよう命じた。
「CISAおよび信頼できるサードパーティのインシデント対応データに よると、脅威行為者は、リストアップされた脆弱性を連鎖させて、被害者のネットワークに初期アクセスし、リモート・コード実行(RCE)を行い、認証情報を取得し、Webシェルを埋め込んでいた。
「行為者の主な悪用経路は、2つの脆弱性チェーンでした。1つはCVE-2024-8963とCVE-2024-8190およびCVE-2024-9380を利用したもので、もう1つはCVE-2024-8963とCVE-2024-9379を利用したものです。確認された1件の侵害では、行為者は2つのサーバーに横移動していた。
CISA と FBI は現在、すべてのネットワーク管理者に対し、システムを標的とする攻撃を阻止するために、アプライアンスをサポートされている最新の Ivanti CSA バージョンにアップグレードすることを「強く推奨」している。
また、勧告で共有されている侵害の指標(IOC)と検出方法を使用して、ネットワーク上の悪意のある活動の兆候を「ハント」することも勧められている。
CISAとFBIは、「影響を受けるIvantiアプライアンス内に保存されている認証情報や機密データは、危険にさらされていると考えるべきである」と警告している。「組織は、悪意のあるアクティビティに関するログやアーティファクトを収集・分析し、本アドバイザリ内のインシデント対応に関する推奨事項を適用すべきである。
Ivanti社は、テストと内部スキャン機能を強化し、セキュリティ上の欠陥を迅速にパッチするために責任ある開示プロセスを改善したと述べている。
昨年は、脆弱性のあるIvantiVPNアプライアンスや ICS、IPS、ZTAゲートウェイに対する広範な攻撃で、他にもいくつかの脆弱性がゼロデイとして悪用された。
また、2025年の初めから、Ivanti Connect Secure VPNアプライアンスは、新しいDryhookおよびPhasejamマルウェアに感染させるリモートコード実行のゼロデイ攻撃で、中国関連のスパイ行為者(UNC5221として追跡されている)と疑われる人物からも標的にされています。
Ivanti社の顧客リストには、システムおよびIT資産の管理に同社製品を使用している世界中の40,000社以上の企業が含まれています。
Comments