CVE-2023-46805 & CVE-2024-21887: Ivanti Connect Secure および Policy Secure ゲートウェイに対するゼロデイ攻撃

勧告にある2つの脆弱性は以下の通りです：

• CVE-2023-46805 : Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure の Web コンポーネントに存在する認証バイパスの脆弱性を利用してリモートの攻撃者が制御チェックをバイパスし、制限されたリソースにアクセスします。
• CVE-2024-21887 : Ivanti Connect Secure (9.x, 22.x) および Ivanti Policy Secure の Web コンポーネントに重大なコマンドインジェクションの脆弱性があり、認証された管理者が特別に細工したリクエストを送信し、アプライアンス上で任意のコマンドを実行することを可能にします。この脆弱性は、インターネット経由で悪用される可能性があります。

Rapid7 は、Ivanti Connect Secure または Policy Secure を使用しているお客様に対して、早急に回避策の適応とIoCの検索を実施するよう勧告しています。VolexityとMandiantの両社は、攻撃とIoCに関する広範な説明を発表しています。Volexityの分析には以下の情報が含まれています：

「Volexity は、攻撃者が正規の ICS コンポーネントを修正し、ICS Integrity Checker Tool を回避するためにシステムに変更を加えていることを確認しました。特に、Volexity は、攻撃者が ICS VPN アプライアンス上の正規の CGI ファイル（compcheck.cgi）をバックドアし、コマンドの実行を許可していることを確認しました。さらに、攻撃者は、デバイスにログインしているユーザーの認証情報をキーロギングおよび流出させるために、デバイスの Web SSL VPN コンポーネントで使用されている JavaScript ファイルも変更しました。攻撃者が収集した情報と認証情報により、攻撃者は社内の一握りのシステムにピボットし、最終的にはネットワーク上のシステムに自由にアクセスできるようになりました。"

Ivanti Connect Secureは、以前はPulse Connect Secureとして知られていたセキュリティ・アプライアンスで、近年、さまざまな脅威キャンペーンの標的になっています。米サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）も2024年1月10日、Ivanti Connect SecureとIvanti Policy Secureのユーザーに対し、2つの脆弱性を直ちに緩和するよう促す速報を発表しています。

インターネットに公開されているアプライアンスの数は、使用するクエリによって大きく異なります。次のShodanクエリは、パブリックインターネット上のおよそ7Kのデバイスを識別しますが、Ivantiのウェルカムページを探すだけで、その数は2倍以上になります（ただし、精度は低下します）：http.favicon.hash:-1439222863 html: "welcome.cgi?p=logo.　Rapid7 Labsは、Ivanti Connect Secureアプライアンスをエミュレートしたハニーポットを標的としたスキャン活動を観測しました。

緩和ガイダンス

Ivanti Connect Secure および Ivanti Policy Secure のすべてのサポート対象バージョン（9.x および 22.x）には、CVE-2023-46805 および CVE-2024-21887 の脆弱性があります。  Ivanti のアドバイザリでは、CVE-2023-46805 および CVE-2024-21887 に対して回避策が利用可能であることを指摘しています。Ivanti Connect SecureおよびIvanti Policy Secureのお客様は、ベンダーが提供する回避策を直ちに適用し、IoCがないか環境を調査する必要があります。Ivanti 社は、サポート対象外のバージョンの製品を使用しているお客様に対し、回避策を適用する前にサポート対象バージョンにアップグレー���するよう助言しています。

Ivantiは、パッチが2024年1月22日から2月19日の間に時差をおいてリリースされる予定であることを示唆しています。

Ivanti Neurons for ZTA ゲートウェイは、本番環境では悪用できませんが、このソリューションのゲートウェイが生成され、ZTAコントローラに接続されないまま放置された場合、生成されたゲートウェイが悪用されるリスクがあります。Ivanti Neurons for Secure AccessにはこれらのCVEに対する脆弱性はありませんが、管理されるゲートウェイにはこれらのCVEに対する独立した脆弱性があります。

注：Volexity社によると、攻撃者がログを消去したり、ターゲット・デバイスのロギングを無効にしたりすることが確認されています。管理者は、ロギングが有効になっていることを確認する必要があります。Ivantiには、Ivanti Connect SecureおよびIvanti Policy Secureアプライアンスのイメージを検証し、変更されたファイルを検索する統合性チェッカーツール（ICT）が組み込まれています。Ivantiは、このツールの外部バージョンを使用してICS/IPSイメージの完全性をチェックするようお客様に助言しています。

Rapid7のお客様

InsightVMおよびNexposeのお客様は、1月11日のコンテンツリリース（コンテンツバージョン1.1.3068）の認証されていない脆弱性チェックにより、Ivanti Pulse Connect Secure資産がCVE-2023-46805およびCVE-2024-21887に晒されているかどうかを評価できます。Ivanti Policy Secure の適用範囲については、現在調査中です。

更新情報

2024年1月12日：この攻撃に関するMandiantのブログ（IoCを含む）の情報を反映させました。

※本ブログは英語版ブログ "Zero-Day Exploitation of Ivanti Connect Secure and Policy Secure Gateways" の機械翻訳版です。最新情報等につきましては、原文をご参照ください。