JPCERT コーディネーションセンター(JPCERT/CC)は1月11日、米IvantiのVPN製品「Ivanti Connect Secure」(旧Pulse Connect Secure)とゲートウェイ製品「Ivanti Policy Secure」の複数の脆弱(ぜいじゃく)性に関する注意喚起を発表した。脆弱性を悪用された場合、第三者が認証を回避して任意のコマンドを実行する恐れがある。
脆弱性は、認証回避(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の2件で、Ivanti Connect Secureの現行サポートバージョンの9x系および22x系とIvanti Policy Secureのウェブコンポーネントに存在する。共通脆弱性評価システム(CVSS)による評価(最大値10.0)は、CVE-2023-46805が「8.2」、CVE-2024-21887が「9.1」となっている。
米国時間1月10日時点で脆弱性を修正するパッチは、まだ提供されていない。Ivantiは、パッチや更新版など脆弱性対策の提供を1月22日の週から2月19日の週にかけて段階に行うと説明。脆弱性の影響を緩和する回避策として、製品ユーザー向けのポータルでXMLファイルを配布しており、注意を確認して適用することをアドバイスしている。
脆弱性は米セキュリティ企業のVolexityが報告した。同社が10日に公開したブログによれば、2023年12月の第2週にネットワークセキュリティ監視サービスのユーザーの1社で、ネットワーク内部の不審な挙動が検知され、ユーザーシステム内のウェブサーバーにウェブシェルが置かれているのが分かった。
調査でIvanti Connect Secureのログが消去され、ログの記録が無効化されていることが判明。ユーザーへの初期の侵害が少なくとも2023年12月3日に発生し、今回の脆弱性が悪用された可能性を発見したという。Volexityは、ブログ内で脆弱性の悪用に関連する参考情報も提供している。
