Last Updated on 2024-06-22 06:40 by 門倉 朋宏
IvantiのVPN製品における最近公表されたサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が大規模な悪用を受けています。この脆弱性は、Ivanti Connect Secure、Policy Secure、およびNeurons for ZTAのSAMLコンポーネントに存在し、攻撃者が認証なしで制限されたリソースにアクセスできるようにするものです。Shadowserver Foundationによると、170以上のユニークなIPアドレスからの悪用試みが観察され、その中にはリバースシェルの確立などが含まれています。攻撃はCVE-2024-21893(CVSSスコア:8.2)を悪用しており、これは以前に修正されたコマンドインジェクションの脆弱性CVE-2024-21887と組み合わせて、認証なしのリモートコード実行を達成するためのプルーフ・オブ・コンセプト(PoC)エクスプロイトによってリリースされました。
Ivantiは、この脆弱性が「限られた数の顧客」を狙った標的型攻撃で悪用されていたことを以前に明らかにしていましたが、公開後の状況の変化について警告していました。CVE-2024-21893は、オープンソースのShibboleth XMLToolingライブラリに存在するSSRF脆弱性CVE-2023-36661(CVSSスコア:7.5)の別名であり、2023年6月にバージョン3.2.4のリリースによって修正されました。
セキュリティ研究者のWill Dormannは、Ivanti VPNアプライアンスが使用している古いオープンソースコンポーネント、例えばcurl 7.19.7、openssl 1.0.2n-fips、perl 5.6.1、psql 9.6.14、cabextract 0.5、ssh 5.3p1、およびunzip 6.00などが、さらなる攻撃の可能性を開くことを指摘しました。
Ivantiは、脅威アクターが初期の緩和策を回避する方法を見つけたため、2つ目の緩和ファイルをリリースしました。2024年2月1日現在、すべての脆弱性に対処する公式パッチのリリースを開始しています。
Google傘下のMandiantは先週、複数の脅威アクターがCVE-2023-46805とCVE-2024-21887を利用して、BUSHWALK、CHAINLINE、FRAMESTING、およびLIGHTWIREとして追跡されるカスタムWebシェルの配備に利用していることを明らかにしました。Palo Alto NetworksのUnit 42は、2024年1月26日から30日の間に145カ国で28,474の露出したIvanti Connect SecureおよびPolicy Secureのインスタンスを観察し、2024年1月23日時点で44カ国で610の侵害されたインスタンスを検出しました。
【ニュース解説】
IvantiのVPN製品におけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が大規模に悪用されているという報告があります。この脆弱性は、攻撃者が認証なしで制限されたリソースにアクセスできるようにするもので、特にIvanti Connect Secure、Policy Secure、およびNeurons for ZTAのSAMLコンポーネントに影響を与えます。
この問題は、Shadowserver Foundationによって170以上のユニークなIPアドレスからの悪用試みが観察されたことで明らかになりました。攻撃者は、リバースシェルの確立などを目的としています。特に注目されるのは、この攻撃がCVE-2024-21893という脆弱性を悪用している点です。この脆弱性は、以前に修正されたコマンドインジェクションの脆弱性CVE-2024-21887と組み合わせることで、認証なしのリモートコード実行を可能にするプルーフ・オブ・コンセプト(PoC)エクスプロイトによってリリースされました。
この脆弱性の背景には、オープンソースのShibboleth XMLToolingライブラリに存在するSSRF脆弱性CVE-2023-36661があり、これは2023年6月にバージョン3.2.4のリリースによって修正されました。しかし、セキュリティ研究者は、Ivanti VPNアプライアンスが使用している古いオープンソースコンポーネントがさらなる攻撃の可能性を開くことを指摘しています。
このような脆弱性の存在は、企業や組織にとって重大なセキュリティリスクをもたらします。攻撃者がシステム内部にアクセスし、機密情報を盗み出したり、システムを乗っ取ったりする可能性があります。このため、Ivantiは迅速に対応し、2つ目の緩和策をリリースし、公式パッチのリリースを開始しました。
この事件は、企業が使用するソフトウェアのセキュリティを常に最新の状態に保つことの重要性を浮き彫りにしています。また、オープンソースコンポーネントを使用する際には、それらが最新のセキュリティパッチを適用しているかどうかを確認する必要があります。さらに、セキュリティ研究者やサイバーセキュリティコミュニティとの連携を強化し、脆弱性情報の共有や対策の迅速な実施が求められます。
この事件から学ぶべき教訓は多く、企業や組織はセキュリティ対策の強化だけでなく、攻撃を検知し迅速に対応するための体制を整えることが重要です。また、将来的には、より高度なセキュリティ技術の開発や、AIを活用した自動化された脅威検知・対応システムの導入が、サイバーセキュリティの強化に貢献することが期待されます。
from Recent SSRF Flaw in Ivanti VPN Products Undergoes Mass Exploitation.
“Ivanti VPN製品の脆弱性、世界中で悪用の波紋” への1件のコメント
IvantiのVPN製品に発見されたサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が大規模に悪用されているという報告は、現代社会におけるデジタルセキュリティの脆弱性を浮き彫りにしています。特に、攻撃者が認証なしで制限されたリソースにアクセスできるようにするこの脆弱性は、企業や組織にとって機密情報の漏洩やシステムの乗っ取りという重大なリスクをもたらします。
この事件から浮かび上がる教訓の一つは、使用しているソフトウェアやシステムのセキュリティを常に最新の状態に保つことの重要性です。特に、オープンソースコンポーネントを使用している場合、それらが最新のセキュリティパッチを適用しているかどうかを確認することが不可欠です。加えて、セキュリティ研究者やサイバーセキュリティコミュニティとの連携を強化し、脆弱性情報の共有や対策の迅速な実施が求められます。
さらに、この事件は企業や組織にとって、攻撃を検知し迅速に対応するための体制を整えることがいかに重要かを教えています。将来的には、AIを活用した自動化された脅威検知・対応システムの