CVE-2023-46805＆CVE-2024-21887:Ivanti Connect Secure および Policy Secure ゲートウェイに対するゼロデイ攻撃

これらの脆弱性に関する情報は、本ブログが 2024 年 1 月 11 日に公開された当初から大幅に進化しています。最新の情報については、Ivanti の 2 つの勧告、KB 記事、および復旧ガイダンスを参照してください。

2024年1月10日（水）、Ivanti社は、同社のIvanti Connect SecureおよびIvanti Policy Secureゲートウェイに影響を及ぼす2つのゼロデイ脆弱性を公表しました。この脆弱性を発見したセキュリティ企業Volexityも、侵害の指標（IoC）や、実際に観測された攻撃者の行動に関する情報をブログで公開しています。Volexityが2023年12月に調査した攻撃では、2つの脆弱性が連鎖して初期アクセスを獲得し、ウェブシェルを展開し、正当なファイルをバックドア化し、認証情報と設定データを取得し、被害者の環境にさらに侵入していたことがわかっています。

最初の勧告にあった2つの脆弱性は以下の通りです：

• CVE-2023-46805 は、Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure の Web コンポーネントに存在するゼロデイ認証バイパスの脆弱性で、リモートの攻撃者が制御チェックを回避して制限されたリソースにアクセスできる可能性があります。
• CVE-2024-21887 は、Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure の Web コンポーネントに重大なゼロデイコマンドインジェクションの脆弱性で、認証された管理者が特別に細工したリクエストを送信し、アプライアンス上で任意のコマンドを実行することを可能にします。この脆弱性は、インターネット経由で悪用される可能性があります。

Rapid7のリサーチチームは、CVE-2023-46895およびCVE-2024-21887を利用した攻撃を再現しています。私たちのチームは、オリジナルのエクスプロイトチェーンに関する完全な技術分析をAttackerKBで公開しています。

2024年1月31日には、さらに2件の脆弱性が公表されています：

• CVE-2024-21893 は、Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure (9.x, 22.x) と Ivanti Neurons for ZTA の SAML コンポーネントに存在するゼロデイサーバーサイドリクエストフォージェリの脆弱性で、攻撃者は認証なしで特定の制限されたリソースにアクセスすることができます。Ivantiの新しいアドバイザリによると、CVE-2024-21893は限られたユーザー環境で悪用されていることがわかっています。
• CVE-2024-21888 は、Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure (9.x, 22.x) の Web コンポーネントに特権昇格の脆弱性があり、ユーザが特権を管理者に昇格できる問題です。

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）も1月30日、脅威者がIvantiの脆弱性を悪用してクレデンシャルを取得し、ウェブシェルをドロップし、ベンダーが提供する本来の緩和策を回避していると警告する速報を発表しています。VolexityとMandiantの両社は、攻撃と侵害の指標に関する広範な説明を発表しています。VolexityとCISAは、攻撃者がIvantiのICSインテグリティ・チェッカー・ツールを回避しようとしているのが観察されていることを強調しています。

Rapid7は、Ivanti Connect SecureまたはPolicy Secureを使用しているお客様に対し、ベンダーが提供するパッチを適用し、侵害の指標（IoC）検索を実施し、直ちに措置を講じることを強く推奨しています。CISAなども、早急な対応と継続的な脅威の発見の重要性を強調しています。

インターネットに公開されたアプライアンスの数は、使用するクエリによって大きく異なります。CVE-2023-46805とCVE-2024-21887が公開されたとき、以下のShodanクエリは、パブリックインターネット上でおよそ7Kのデバイスを特定しました。Ivantiのウェルカムページを探すだけで、この数は2倍以上になります（ただし精度は落ちます）：http.favicon.hash:-1439222863 html: "welcome.cgi?p=logo.Rapid7 Labsは、Ivanti Connect Secureアプライアンスをエミュレートした当社のハニーポットを標的としたスキャン活動とエクスプロイトの試みの両方を観察しました。

緩和ガイダンス

重要: Ivanti は、以下の情報が最初に公開されてから、影響を受けたアプライアンスに対する攻撃者のアーティファクトおよび復旧手順に関する追加のガイダンスを発表しました。ユーザーは、新しい情報が引き続き明らかになり次第、Ivanti のアドバイザリ、KB 記事、および復旧ガイダンスを情報源として参照してください。

• Ivanti Connect Secure および Ivanti Policy Secure のサポートされるすべてのバージョン (9.x および 22.x) には、CVE-2023-46805、CVE-2024-21887、CVE-2024-21893、および CVE-2024-21888 の脆弱性があります。 
• Ivanti社からの連絡によると、Ivanti Connect Secure（バージョン9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2、22.5R1.1）およびZTAバージョン22.6R1.3については、2024年1月31日時点で標準ダウンロードポータルから利用可能なパッチにより、4つのCVEすべてに対処している。2月1日現在、Ivanti Connect Secureバージョン22.5R2.2およびIvanti Policy Secure 22.5R1.1に対しても、既知の脆弱性に対応したパッチが提供されています。
• また、新しい脆弱性に対処するための新しい緩和策も用意されています。パッチを適用している場合は、この緩和策を適用する必要はありません。
• Ivantiは、影響を受けたアプライアンスのリカバリーステップを用意しています。
• 更新されたパッチのタイムラインはこちらで確認できます。

Ivanti Connect Secure、Ivanti Policy Secure、および Ivanti Neurons をご利用のお客様は、直ちにベンダ提供のパッチを適用し、侵害の兆候（IoC）がないか環境を調査してください。Ivanti社では、サポートされていないバージョンの製品を使用しているユーザーに対し、回避策を適用する前にサポートされているバージョンにアップグレードするよう助言しています。

注意：攻撃者は、ログを消去したり、ターゲット・デバイスのログを無効にしたりすることが確認されています。管理者は、ロギングが有効になっていることを確認してください。Ivantiには、Ivanti Connect SecureおよびIvanti Policy Secureアプライアンスのイメージを検証し、変更されたファイルを検索する統合性チェッカーツール（ICT）が組み込まれています。Ivantiは、このツールの外部バージョンを使用してICS/IPSイメージの完全性をチェックするようユーザーに助言しています。

注：CVE-2023-46805およびCVE-2024-21887に関するIvantiのアドバイザリおよびKBの記事によると、「Ivanti Neurons for ZTAゲートウェイは、本番環境では悪用できません。このソリューションのゲートウェイが生成され、ZTAコントローラに接続されないまま放置された場合、生成されたゲートウェイが悪用されるリスクがあります。Ivanti Neurons for Secure AccessにはこれらのCVEに対する脆弱性はありませんが、管理されるゲートウェイにはこれらのCVEに対する独立した脆弱性があります。

Rapid7のお客様

InsightVMおよびNexposeのお客様は、1月11日リリースのコンテンツで、認証されていない脆弱性チェックにより、Ivanti Pulse Connect Secure CVE-2023-46805およびCVE-2024-21887への露出を評価できます。1月12日（コンテンツバージョン1.1.3069）より、Ivanti Policy SecureのCVE-2023-46805およびCVE-2024-21887に対して未認証の脆弱性チェックが利用可能になりました。

2月1日の更新：InsightVMとNexposeのお客様は、2月1日のコンテンツリリース（コンテンツバージョン1.1.3083）の認証されていない脆弱性チェックで、Ivanti Connect SecureのCVE-2024-21888とCVE-2024-21893への露出を評価することができます。Ivanti Policy SecureのさらなるアップデートとIvanti Neurons for ZTAのカバレッジは現在調査中であり、将来利用可能になる可能性があります。

InsightIDR および Managed Detection and Response をご利用のお客様は、Rapid7 の広範な検出ルールライブラリにより、既存の検出カバレッジを利用できます。Rapid7は、疑わしいプロセスを可視化し、適切な検出範囲を確保するために、該当するすべてのホストにInsight Agentをインストールすることを推奨します。以下は、このゼロデイ脆弱性に関連するエクスプロイト後の動作について警告を発する、導入されている検出の非網羅的なリストです：

• 不審なWebリクエスト - Ivanti Exploitの可能性
• 不審なWebリクエスト - Ivanti CVE-2023-46805の悪用の可能性

ブログ更新

2024年1月12日：この攻撃に関するMandiantのブログ（侵害の指標を含む）を更新しました。

2024年1月16日：Rapid7リサーチがエクスプロイトチェーンを再現し、完全な技術分析をAttackerKBで公開していることを追記するために更新しました。

2024年1月23日：Rapid7 Labs が Ivanti Connect Secure の悪用未遂を検出したことを反映するために更新されました。

2024年1月24日：危殆化したアプライアンスの復旧に関する Ivanti からの追加ガイダンスを更新しました。新情報が続々と明らかになっているため、お客様は Ivanti の勧告、KB 記事、および復旧ガイダンスを情報源として参照してください。

2024年1月30日Ivantiからのパッチの遅れに関するメモを更新しました。

2024年1月31日：Ivantiが公開した新しいCVE（CVE-2024-21893およびCVE-2024-21888）、Mandiantの新しい分析、新しいCISA公報情報、および新しいベンダー提供パッチ情報を更新しました。InsightIDR および Rapid7 MDR の顧客向けの検出情報を更新しました。InsightVMカバレッジ開発チームが新しいCVEを調査中であることを追記するために更新しました。

2024年2月1日本日（2月1日）のコンテンツリリース（コンテンツバージョン1.1.3083）において、InsightVMおよびNexposeをご利用のお客様は、認証されていない脆弱性チェックにより、Ivanti Connect SecureのCVE-2024-21888およびCVE-2024-21893への暴露を評価できるようになります。

2024年2月2日：2月1日現在、Ivanti Connect Secureバージョン22.5R2.2およびIvanti Policy Secureバージョン22.5R1.1に対しても、既知の脆弱性に対応するパッチが提供されていることがIvanti社より発表されています。

※本ブログは英語版ブログ "Zero-Day Exploitation of Ivanti Connect Secure and Policy Secure Gateways" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。