IvantiのCloud Services Appliance(CSA)の顧客は、同社が実環境で悪用されている3つのゼロデイ脆弱性の詳細を公開したことを受け、直ちに製品を更新するよう促されている。
セキュリティベンダーは、CVE-2024-9379、CVE-2024-9380、CVE-2024-9381が、9月に公開されたCSAの別のゼロデイであるCVE-2024-8963とそれぞれ個別に連鎖させる形で「限定的に悪用」されているのを確認したと主張した。
Ivantiによれば、顧客がCSA 4.6を稼働させている場合、これにより未認証のリモートコード実行(RCE)につながる可能性がある。
「なお、CSA 4.6はサポート終了(EOL)であり、このバージョン向けの最後のセキュリティ修正は9月10日にリリースされました。加えて、CSA 5.0のいかなるバージョンでも、これらの脆弱性の悪用は確認していないことをお客様に知っていただくことが重要です」と同社は続けた。
「お客様に知っていただくことが重要ですが、CVE-2024-8963は不要なコードの削除により、CSA 5.0の以前のバージョンで偶発的に対処されていました。以下で開示する脆弱性は、CSA 4.6におけるCVE-2024-8963およびCVE-2024-8190の悪用に関する当社の調査中に発見され、CSA 5.0にも存在することが判明しましたが、悪用はされていませんでした。」
Ivantiのゼロデイ欠陥について詳しく読む:Ivantiがゼロデイのパッチを公開し、新たに2つのバグを明らかに
Ivantiによれば、昨日公開された3つの新たなゼロデイ脆弱性は、個別に悪用された場合、管理者権限を持つ攻撃者が制限を回避したり、任意のSQL文を実行したり、RCEを達成したりできる可能性がある。
CVE-2024-9379は、Ivanti CSAの管理用Webコンソールに存在する中程度の深刻度のSQLインジェクション欠陥で、5.0.2より前のバージョンに影響し、管理者権限を持つリモートの認証済み攻撃者が任意のSQL文を実行できる。
CVE-2024-9380は、高深刻度のOSコマンドインジェクション脆弱性で、同じく5.0.2より前のバージョンのCSAの管理用Webコンソールに存在し、管理者権限を持つリモートの認証済み攻撃者がRCEを達成できる。
CVE-2024-9381は、高深刻度のパストラバーサル欠陥で、同じバージョンのCSAに影響し、管理者権限を持つリモートの認証済み攻撃者が制限を回避できる。
CSA 5.0.1およびそれ以前のバージョンを使用している顧客は、5.0.2へアップグレードするよう強く推奨されている。
Ivantiは、国家支援型攻撃に関連するゼロデイ脆弱性の開示が相次いだことを受け、この1年で攻撃の人気標的となっている。同社は現在、製品セキュリティを強化し、パッチ適用を加速することを目的としたセキュア・バイ・デザインの取り組みを進めている。
昨日、Ivanti Endpoint Manager Mobile(EPMM)、Ivanti Velocity License Server、Ivanti Connect SecureおよびPolicy Secure、ならびにIvanti Avalancheに関するCVEの修正も発表した。
翻訳元: https://www.infosecurity-magazine.com/news/ivanti-three-csa-zerodays/
