米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)によると、Ivanti Virtual Traffic Manager(vTM)に存在する重大な認証バイパスの脆弱性が、現在、実環境で脅威アクターによって悪用されている。
CISAは9月24日、この欠陥を「既知の悪用されている脆弱性(KEV)」の長いリストに追加し、連邦機関に対して10月15日までにパッチを適用するよう期限を設定した。しかしIvantiは、新情報を反映するためのセキュリティアドバイザリの更新をまだ行っていない。
同アドバイザリは、 8月12日に初めて公開され、9月4日に最終更新されたもので、次のように述べている。「開示時点では、この脆弱性が悪用されている顧客は把握していません。しかし、概念実証(PoC)は公開されており、最新の修正済みバージョンへアップグレードすることを強く推奨します。」
これらの懸念は現実のものとなったようだが、悪用がどの程度広がっているかは不明である。CISAはまた、この欠陥がランサムウェア攻撃に利用されているかどうかも現時点では不明だとしている。
Ivantiの脆弱性に関する詳細はこちら:Ivantiのゼロデイが世界各地で複数のアクターにより悪用
問題の脆弱性CVE-2024-7593にはCVSSスコア9.8が付与されており、認証バイパスと管理者権限を持つ新規ユーザーの作成を可能にし得る点を反映している。
説明には次のようにある。「Ivanti vTMの認証アルゴリズムの不適切な実装により、22.2R1または22.7R2以外のバージョンでは、リモートの未認証攻撃者が管理パネルの認証をバイパスできる。」
Ivantiは、この欠陥の修正に加え、悪用可能性を抑えるための顧客向け助言も提供した。
「管理インターフェースを内部ネットワークまたはプライベートIPアドレスにバインドしている顧客は、攻撃対象領域を大幅に削減しています」と同社は指摘する。「管理インターフェースへのアクセスを制限することは業界のベストプラクティスであり、ネットワーク構成ガイダンスにおいてIvantiも推奨しています。」
Ivanti製品は、特にゲートウェイやVPNアプライアンス、モバイルデバイス管理ソフトウェアにおいて、ゼロデイとして脅威アクターに恒常的に狙われている。
2024年の最初の1か月だけでも、同ベンダーは4件の脆弱性に対するパッチを公開しており、そのうち2件は中国の脅威アクターによってゼロデイとして悪用されていた。
翻訳元: https://www.infosecurity-magazine.com/news/critical-ivanti-auth-bypass-bug/
