米IvantiのVPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」に存在する脆弱(ぜいじゃく)性の悪用を狙ったサイバー攻撃が拡大している。JPCERT コーディネーションセンター(JPCERT/CC)が1月31日までに追加の情報を公開し、国内ユーザーへ対応を呼び掛けている。だが、同日時点でIvantiから脆弱性を修正するパッチなどは提供されていない。
問題となっている脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件。Ivanti Connect Secureの現行サポートバージョンの9x系および22x系とIvanti Policy Secureのウェブコンポーネントに存在する。脆弱性を悪用された場合、第三者が認証を回避して、任意のコマンドを実行することができる。
JPCERT/CCによると、日本では1月11日にこれらの脆弱性を悪用したと見られる国内組織を標的にしたサイバー攻撃が発生した。同16日には、脆弱性を悪用するための方法の概念実証(PoC)が公開され、脆弱性の悪用を狙う攻撃が拡大した。主には、(1)ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃、(2)構成情報や設定情報の窃取を試みる攻撃、(3)マルウェアをダウンロードして実行する攻撃、(4)Ivanti製品から窃取した情報を用いて内部に侵入を試みる攻撃――が確認されているという。
Ivantiは、脆弱性の影響を緩和する回避策として、ユーザー向けポータルでXMLファイルを配布し、ユーザーに確認の上で適用することを求めている。また、脆弱性悪用攻撃による侵害を検出するための整合性チェックツールを提供しているほか、影響を受けた場合の復旧方法も紹介している。
今回の脆弱性や悪用攻撃を報告したVolexityによると、侵害を受けた場合に、ユーザーシステム内のウェブサーバーにウェブシェルが置かれたり、製品内のログが消去されたり、ログの記録が無効化されたりするなどの影響も受ける。JPCERT/CCは、製品の内部チェックの結果が改ざんされる攻撃も一部確認されたとし、Ivantiの整合性チェックツールで外部チェックを実行することを推奨している。
Ivantiは、当初に脆弱性を修正するパッチを1月22日の週から段階的に公開するとしていた。しかし、26日には現在同社がサポートしているバージョンを対象にしたパッチのリリースが遅れていると発表し、1月29日の週のリリースを目標していると説明していた。日本時間31日正午時点で修正パッチはまだ公開されていない。
