先週明らかになったIvanti製品の2つのゼロデイ脆弱性が世界中で大規模に悪用されており、すでに1700台超のデバイスが侵害されているとVolexityが警告した。
同セキュリティベンダーは昨日のブログ投稿で、被害者は政府、軍、通信、テクノロジー、金融、コンサルティング、航空宇宙など、さまざまな分野に及ぶと述べた。
「被害者は世界中に分布しており、規模も小規模事業者から世界最大級の組織まで大きく幅がある。複数の業界分野にまたがる複数のフォーチュン500企業も含まれる」と警告している。
「2024年1月14日(日)、VolexityはGiftedVisitorウェブシェルによって侵害されたICS VPNアプライアンスを1700台超特定した。これらのアプライアンスは無差別に標的にされたようで、被害者は世界中にいる。」
Volexityは、これらの侵害の背後にいる脅威アクターは、2023年12月に初めてこのゼロデイ脆弱性の悪用が観測された中国系グループ(UTA0178)と同一だとみている。
しかし同社は、他の脅威アクターもこのエクスプロイトにアクセスできるようで、組織を積極的に標的にしていると警告した。これには「UTA0188」と名付けられたグループも含まれる。
Volexityはまた、同社のスキャンで見つかったのは攻撃者に侵害された組織のごく一部に過ぎない可能性があると付け加えた。
「この悪用は数千台のマシンに影響しており、さらに多くが感染している可能性がある。Ivantiの緩和策をすでに導入している組織や、別の理由でオフラインになっている組織に対しては、Volexityのスキャン手法は機能しなかっただろう」と、同社は結論づけた。
「その結果、Volexityは、スキャンで特定された(合計1700超)数よりも侵害された組織の数が多い可能性が高いとみている。緩和策が適用される前に、UTA0178がこれらの侵害を実行できた期間があった可能性が高い。」
Ivantiは1月10日、この2つのゼロデイに関するアドバイザリを初めて公開した。当時、同社はCVE-2023-46805およびCVE-2024-21887の悪用による影響を受けた顧客は10社未満だとしていた。これらは同社のConnect SecureおよびPolicy Secureゲートウェイに存在する2つの重大な欠陥だ。
Ivantiのゼロデイについて詳しく読む:2つのIvantiゼロデイが実環境で積極的に悪用される
CVE-2023-46805は両製品のWebコンポーネントにおける認証バイパスの脆弱性であり、CVE-2024-21887は同じWebコンポーネントにおけるコマンドインジェクションの脆弱性である。これらは連鎖可能で、脅威アクターが多要素認証を回避し、悪意のあるリクエストを作成して任意のコマンドを実行し、システム全体を侵害できるようになる。
パッチは1月22日の週までリリースされず、その後も製品バージョンに応じて段階的なスケジュールとなる。しかし顧客には、ベンダーの緩和策を直ちに適用し、Ivantiが提供するIntegrity Checkerツールを実行するよう強く求められている。
翻訳元: https://www.infosecurity-magazine.com/news/ivanti-zerodays-exploited-multiple/
