Ivantiは、同社のConnect SecureおよびPolicy Secureゲートウェイに存在する2件のゼロデイ脆弱性が実際の攻撃で積極的に悪用されていることを確認したことを受け、顧客に対してセキュリティベンダーが提案する回避策に従うよう呼びかけた。
Connect SecureはVPN製品で、Policy Secureはネットワークアクセス制御(NAC)ソリューションである。
セキュリティベンダーのVolexityは昨日、中国の国家主体とされるUTA0178として追跡されているアクターが攻撃の背後にいると主張した。同社は、このグループが2023年12月3日まで遡ってCVE-2023-46805およびCVE-2024-21887を悪用し、被害組織の内部および外部向けWebサーバーにWebシェルを設置していた可能性があると述べた。
これらのゼロデイ脆弱性は、旧称Pulse Connect SecureであるIvanti Connect Secure(ICS)のサポート対象の全バージョンと、Ivanti Policy Secureゲートウェイに影響する。
CVE-2023-46805は、2製品のWebコンポーネントにおける認証バイパスの脆弱性で、リモート攻撃者が制御チェックを回避することで制限されたリソースにアクセスできるようになると、Ivantiはアドバイザリで述べた。CVSSスコアは8.2である。
CVE-2024-21887は、製品のWebコンポーネントにおけるコマンドインジェクションの脆弱性で、認証済みの管理者が特別に細工したリクエストを送信することで、アプライアンス上で任意のコマンドを実行できる。インターネット経由で悪用可能で、CVSSスコアは9.1とされている。
この2件は連鎖させることで、壊滅的な影響を及ぼす可能性がある。
「CVE-2024-21887がCVE-2023-46805と組み合わせて使用された場合、悪用に認証は不要となり、脅威アクターが悪意あるリクエストを作成してシステム上で任意のコマンドを実行できるようになる」とIvantiは警告した。
Action1の社長兼共同創業者であるMike Walters氏は、Shodan検索により、現在オンライン上で約1万5000台のIvantiデバイスが露出していることが明らかになると主張した。
「悪用は、任意コマンド実行、MFAのバイパス、そして潜在的にはシステム全体の侵害につながり得る」と同氏は説明した。「利用可能な緩和策をまだ適用していない組織や、ファイアウォールや侵入検知システムといった適切なセキュリティ対策が不足している組織は、最も深刻な結果に直面する可能性が高い。」
続きを読む: 初心者のためのゼロデイ脆弱性とエクスプロイトのガイド
キャンペーンに関連する5つのマルウェアファミリー
Google傘下のMandiantも、現在これらの脆弱性を悪用している高度持続的脅威(APT)グループを特定したが、同社は現時点で悪意ある活動を特定のグループに帰属させていないと、Google CloudのMandiant Consulting CTOであるCharles Carmakal氏がInfosecurityに語った。
同社は、脅威アクターが悪用キャンペーンを実施するために5種類の異なるマルウェアファミリーを使用していたことを明らかにした。Ziplineのパッシブバックドア、Thinspoolドロッパー、LightwireおよびWirefireのWebシェル、そしてWarpwireの認証情報ハーベスターである。
「これらのツールにより、脅威アクターは認証を回避し、これらのデバイスへのバックドアアクセスを提供できる」と報告書は述べている。
パッチはまだ提供されていない
Ivantiは、これらのエクスプロイトの影響を受けた顧客は「10社未満」であることを把握していると述べたが、状況はなお進展中であると注意を促した。
「脅威アクターがIvantiの内部整合性チェッカー(ICT)を操作しようとしている証拠を確認している。念のため、すべての顧客に外部ICTの実行を推奨する」と同社は述べた。
「外部ICTに新機能を追加しており、将来的に内部ICTにも組み込まれる予定だ。外部および内部ICTには定期的に更新を提供しているため、顧客は常にそれぞれの最新バージョンを実行していることを確認すべきである。」
パッチは1月22日の週まで提供されず、その後もIvantiは製品バージョンに応じて段階的なスケジュールでリリースする。これに先立ち、顧客が直ちに従うよう強く求められる一連の緩和手順を公開した。
「組織が直ちに行動し、Ivantiのダウンロードポータルから提供されている緩和リリースを取り込むことが極めて重要だ」とWalters氏は述べた。「時間は刻一刻と迫っている。」
MandiantのCarmakal氏は、特定された被害者数を確認した。
「既知のゼロデイ悪用は単一の脅威グループによって実行されたが、他の脅威アクターもエクスプロイトコードを開発し、さまざまな動機で悪用できるようになる可能性が高い。Ivantiが提供する新しい整合性チェッカーツールを実行して、デバイスがすでに侵害されていないか評価することを組織に強く求めるとともに、Ivantiが公開した緩和策をできるだけ早く展開するよう促す」と同氏はInfosecurityに語った。
過去にも悪用されたIvanti製品の脆弱性
Ivanti製品は以前にも、中国の国家支援ハッカーとみられる攻撃者に悪用されてきた。7月には、同社のEndpoint Manager Mobile(EPMM)製品におけるCVE-2023-35078およびCVE-2023-35081を標的にし、ノルウェー政府機関の複数を侵害した。
Ivantiの脆弱性についてさらに読む: ノルウェー攻撃で使用されたゼロデイバグにIvantiがパッチを提供
2021年4月、IvantiがPulse Secureを買収する前に、中国のハッカーがPulse Connect Secure製品の別の重大なゼロデイバグを悪用した。
2024年1月15日に更新。追加取材: Kevin Poireault。
翻訳元: https://www.infosecurity-magazine.com/news/two-ivanti-zerodays-actively/
