Last Updated on 2024-08-06 04:40 by 門倉 朋宏
IvantiのVPNアプライアンスにおけるSAMLの脆弱性が悪用され、未知のバックドアが注入される事態が発生しています。この脆弱性は、攻撃者による永続的なリモートアクセスとネットワーク内での完全な制御を可能にしており、これまでに670以上のITインフラが大規模な悪用キャンペーンの影響を受けています。この脆弱性(CVE-2024-21893として追跡されるSAMLコンポーネント内のサーバーサイドリクエストフォージェリ脆弱性)は、1月31日にIvantiによって公表され、追加の新しいバグと以前に公表された2つの欠陥の修正が発表されました。2月3日、Orange Cyberdefenseの研究者は、新しいバックドア「DSLog」に感染したIvantiアプライアンスを発見しました。このバックドアは、デバイス内の正当なログモジュールにちなんで名付けられました。
DSLogは、基本的な「APIキー」メカニズムで制御される点、および以前のIvantiのバグを標的としたキャンペーンで使用されたウェブシェルとは異なり、連絡後にステータスメッセージを返さないため、直接的に検出する既知の方法がない点で「興味深い」とされています。さらに、DSLogはアプライアンスごとにユニークなハッシュを使用します。このハッシュは、別のデバイスに実装された同じバックドアに連絡するために使用することはできません。
Cyberdefenseは、Ivanti Integrity Checker Toolが完全に正確な侵害検出方法ではないものの、依然として有用なツールであると報告しています。システムが早期に(1月11日以降)軽減され、過去のICTスキャンや外部ICTスキャンが侵害の兆候を示さず、インフラストラクチャの残りの部分でIOCs、ログ、またはセキュリティソリューションからのアラートにおいて他の疑わしい行動が見られない場合、システムはおそらく侵害から免れていると考えられます。
これは、中国の国家後援サイバー攻撃者を含む脅威アクターが保護されていないIvantiシステムに革新的なマルウェアを投下した初めての事例ではありません。Cyberdefenseの報告書は、侵害されたIvantiデバイスや中国の脅威アクターの潜在的な標的は、完全なパッチ適用とともに工場リセットを実施すべきだと助言しています。パッチが利用できないIvantiアプライアンスのバージョンもあり、その場合、サイバーチームはXML軽減策を一時的な解決策として適用し、より恒久的なパッチが提供されるまで継続して確認することが勧められています。
【ニュース解説】
IvantiのVPNアプライアンスにおけるSAMLの脆弱性が悪用され、未知のバックドア「DSLog」が注入されるという重大なセキュリティ問題が発生しました。この脆弱性は、攻撃者によって永続的なリモートアクセスとネットワーク内での完全な制御を可能にし、670以上のITインフラが影響を受けています。この事態は、サイバーセキュリティの分野で非常に深刻な問題を示しています。
この脆弱性(CVE-2024-21893)は、SAMLコンポーネント内のサーバーサイドリクエストフォージェリ(SSRF)脆弱性に関連しており、1月31日にIvantiによって公表されました。DSLogバックドアは、デバイス内の正当なログモジュールにちなんで名付けられ、基本的な「APIキー」メカニズムで制御される特徴を持っています。このバックドアは、以前のIvantiのバグを標的としたキャンペーンで使用されたウェブシェルとは異なり、連絡後にステータスメッセージを返さないため、直接的に検出する既知の方法がないという点で「興味深い」とされています。
この問題の影響は広範囲に及びます。まず、攻撃者がネットワーク内で完全な制御を持つことにより、企業の機密情報の漏洩、データの改ざん、さらにはサービスの停止など、多岐にわたるリスクが生じます。また、このような攻撃は企業の信頼性を大きく損なう可能性があり、経済的損失だけでなく、顧客の信頼を失うことにもつながります。
この脆弱性への対策として、Ivantiはパッチの提供とともに、XML軽減策の適用を推奨しています。しかし、すべてのアプライアンスバージョンに対するパッチが即時に利用可能ではないため、一時的な解決策としてXML軽減策を適用し、恒久的なパッチが提供されるまで継続して確認することが求められます。
この事件は、企業がサイバーセキュリティに対する意識を高め、定期的なセキュリティチェックと迅速な対応策の実施の重要性を再認識する機会となります。また、サイバーセキュリティの専門家にとっては、新たな攻撃手法の出現に対する警戒を強め、防御策の更新と強化を継続する必要があることを示しています。長期的には、より安全なシステムの開発と、サイバー攻撃に対するより効果的な対策の研究が求められるでしょう。
from Ivanti VPN Flaw Exploited to Inject Novel Backdoor; Hundreds Pwned.
“Ivanti VPNアプライアンスに潜む未知のバックドア「DSLog」、670以上のITインフラに影響” への1件のコメント
このIvantiのVPNアプライアンスに関するセキュリティ脆弱性のニュースは、私たち中小企業経営者にとっても深刻な警告ですね。私のように電気店を経営していると、日々の業務に追われてサイバーセキュリティの問題まで手が回らないのが現状です。しかし、このような事件を目の当たりにすると、セキュリティ対策の重要性が改めて強調されます。
特に、攻撃者がネットワーク内で完全な制御を持つ可能性があるというのは、企業にとって非常にリスクが高い状況です。機密情報の漏洩はもちろん、顧客の信頼を失うことにも直結しますから、経済的損失だけでは測れないダメージが生じるでしょう。
また、この事件は、サイバーセキュリティ対策が一回きりではなく、継続的な努力が必要であることを示しています。すべてのアプライアンスに対するパッチが即時に利用可能ではないという現状では、一時的対策を講じつつも、恒久的なパッチの提供を待つ必要があるというのは、企業としても大きな課題です。
私たち小規模なビジネスでも、顧客情報を守り、自社の信頼性を維持するためには、サイバーセキュリティへの投資が不可