2023 年末から 2024 年にかけて、Ivanti Policy Secure ネットワーク アクセス コントロール (NAC)、Ivanti Connect Secure セキュア ソケット レイヤ仮想プライベート ネットワーク (SSL VPN)、およびゼロトラスト アクセス (ZTA) 製品の Ivanti Neurons に一連の脆弱性が発生します。国家のスパイ活動との関連が疑われる攻撃者によって悪用され、世界中の組織に懸念を引き起こしました。
この解説では、脆弱性とその影響、Ivanti の対応、影響を受けたユーザーが次に何をすべきか、Ivanti 製品を使い続けるのが安全かどうかを検討しながら、Ivanti の開示から生じる主要な問題のいくつかを検討します。
イヴァンティは何をしますか?
ユタ州に本社を置く Ivanti は、セキュリティ ソフトウェア、IT サービスおよび資産管理ソフトウェア、アイデンティティ管理ソフトウェア、サプライ チェーン管理ソフトウェアを専門としています。
その歴史は 1985 年に LAN Systems という会社が設立されたことに遡ります。 過去 40 年にわたり、この組織は一連の合併と買収を経て成長してきましたが、Ivanti の名前が生まれたのは 2017 年に、LAN Systems の後継である LANDESK と HEAT Software の 2 社がプライベート・エクイティ・ハウスの監督下で合併したことによってのみになりました。クリアレイク首都。
2017 年以来、Ivanti は着実に成長し、現在では世界 23 か国に数千人の従業員を擁しています。 新型コロナウイルス感染症のパンデミック中に同社は大幅に買収し、MobileIron、Pulse Secure、Cherwell Software、RiskSenseなどの名前を集めた。
Ivanti は、「どこでも仕事」を高めて安全にするというコンセプトを掲げており、顧客の従業員が必要なときにいつでもどこでも自分のデバイスを使用して IT アプリケーションやデータにアクセスできるようにします。 また、セキュリティ問題について頻繁に声を大にして解説しており、その専門家は IT およびサイバー セキュリティのメディアで頻繁に引用されています。
Ivanti の脆弱性とは何ですか?
この問題は Ivanti Connect Secure (ICS)、Ivanti Policy Secure (IPS)、および ZTA ゲートウェイにのみ影響し、他の Ivanti 製品には存在しません。
最初の 2 つの脆弱性は CVE-2023-46805 と CVE-2024-21887 です。 1 つ目は、ICS 9.2、22.x、および Policy Secure の Web コンポーネントに存在する認証バイパスの欠陥で、リモートの攻撃者が制御チェックをバイパスして、制限されたリソースにアクセスできるようになります。 2 つ目は、同じ製品の Web コンポーネントにあるコマンド インジェクションの脆弱性で、認証された管理者が特別に作成されたリクエストを送信し、任意のコマンドを実行できるようになります。
これら 2 つの問題は、1 か月前に顧客ネットワーク上で不審な横方向の動きを発見し、アクティブな悪用を特定できた Volexity の研究者によって発見され、2024 年 1 月 10 日に初めて正式に明らかにされました。 Volexity は、攻撃者がこれらを使用して、Glasstoken や Giftedvisitor などの Web シェルを内部および外部に面した Web サーバーに埋め込み、侵害されたデバイスでコマンドを実行するために使用していたと判断しました。
これだけでも大きな問題となるはずだったが、事態は憂慮すべき方向に発展した。 Ivanti からの最初の緩和ガイダンスに従って、脅威攻撃者はすぐにこれを回避して、さらに 3 つの Web シェル亜種、Bushwalk、Lightwire、Chainline を導入する方法を見つけました。
これにより、3 つの新たな脆弱性が明らかになりました。 これらが:
- CVE-2024-21893 は、ICS、IPS、ZTA のセキュリティ アサーション マークアップ言語 (SAML) コンポーネントに存在するサーバー側のリクエスト フォージェリのゼロデイ脆弱性で、攻撃者が認証なしで制限されたリソースにアクセスできるようになります。
- CVE-2024-22024: 製品の SAML コンポーネントに存在する拡張マークアップ言語 (XML) の脆弱性で、CVE-2024-21893 と同じ影響があります。
- また、CVE-2024-21888 は、ICS および IPS の Web コンポーネントに存在する特権昇格の脆弱性で、攻撃者が管理者権限を取得できるようになります。
なぜIvantiが標的にされているのでしょうか?
ICS などの SSL VPN 製品は、過去数年間にわたり、金銭目的のサイバー犯罪者と国家と連携したグループの両方を含む幅広い脅威アクターの標的となってきました。5 年前のバグ CVE-2019 も存在します。 ICS の 11510 は現在でも悪用されています。
なぜそうなのか? 答えは比較的単純です。SSL VPN は、ターゲット組織への非常に価値のある入り口を提供し、企業リソースにアクセスするための中継点として機能します。
特に新型コロナウイルス感染症のパンデミック後、ソーシャル エンジニアリング攻撃やその他の形式のフィッシングに悪用されやすいリモート ワーカーが広範囲に使用しているため、彼らはソフト ターゲットとなっています。
そのため、セキュリティ チームにとって、SSL VPN および関連アクセス製品の脆弱性に対処することは、優先順位を簡単に決定できるはずです。
Ivanti は脆弱性にどのように対応しましたか?
2024 年 2 月 14 日に Web サイトに掲載された新しく更新された FAQ の中で、Ivanti は、最近の問題に対処する際の顧客の「サポートと忍耐」に感謝の意を表しました。 同社は、この期間が顧客にとって試練の期間であることを認め、外部の専門家の支援を受けながら問題解決に向けて24時間体制で取り組んでいることを顧客に安心させた。
「当社は設立当初から、顧客第一のアプローチを取ることに尽力してきました。 私たちは、緩和策とパッチをできるだけ早くリリースすることを優先するとともに、業界が直面しているますます高度化して攻撃的な脅威環境に対抗するための事前対策を強化し続けています」と同団体は述べた。
「私たちはお客様のサポートに取り組む中で、継続的かつ直接的なコミュニケーションを最前線に置くよう努めてきました。 また、コミュニケーションを継続的に改善するために、聞いたフィードバックに耳を傾け、取り入れていくことに多くの時間を費やしてきました。」
2 月中旬の時点で、Ivanti は、影響を受ける製品のサポートされているすべてのバージョンで利用できる安全なビルドを用意していました。
FAQ はさらに、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) からの指令の誤った解釈によって生じたいくつかの誤った情報についても取り上げました。この指令は、影響を受ける製品を廃棄して交換するよう米国政府の連邦機関に指示していると多くの人が誤って考えていました。 これは決して事実ではなく、単に製品の接続を解除するように指示しているだけであり、その後 CISA はガイダンスを修正し、更新しました。
また、Ivanti は、Connect Secure 製品が古い Linux コードによって脆弱であるという主張を否定しましたが、この製品は過去 18 か月間、サポートされていない古いバージョンから顧客を移行するのに役立ってきました。
さらに、2番目の脆弱性セットの1つであるCVE-2024-22024が実際に悪用された形跡はないと付け加え、この脆弱性は同じセクションで見つかったため、この点で混乱が生じた可能性があると述べた。コードCVE-2024-21893。
さらに、1月10日に公開された脆弱性が脅威アクターによって限定的に悪用され、その悪用が急増していることを確認した。
さらに同社は、社内で独自のツールやテクノロジーを使用しているものの、企業として侵害された形跡はなく、同社が保有する顧客データは安全に保たれていると強調した。
Ivanti の脆弱性に対処するにはどうすればよいですか?
脆弱性への対処を開始する方法に関する Ivanti の完全なガイダンスは、ここでご覧いただけます。 以下に提供するガイダンスは、CISA の 2 月 9 日の最近の勧告から派生したもので、公式には米国の連邦政府機関のみに関連しています。
2 月 9 日の時点で、影響を受ける組織には、まず Ivanti Connect Secure と Ivanti Policy Secure のすべてのインスタンスを切断し、他のエンタープライズ リソースから可能な限り隔離し、接続されているシステムに対して脅威ハンティングを実行するよう指示されました。 セキュリティ チームは、公開されている可能性のある認証サービスやアイデンティティ サービスを監視し、特権アクセスを持つアカウントを監査する必要もあります。
影響を受ける製品をサービスに戻すには、まず次のことを行うよう組織に勧められました。
- 構成設定をエクスポートします。
- Ivanti の指示に従って、製品を出荷時設定にリセットします。これは 1 月 31 日と 2 月 1 日にリリースされたパッチを適用する前にすでに行われていますが、これを行う必要はありません。
- 製品を再ビルドします (その方法については上記のリンクを参照してください)。Ivanti を通じてサポートされているソフトウェア バージョンにアップグレードします (無料)。
- 構成を再インポートします。
- 軽減 XML ファイルを適用した場合は、アップグレード後にこれらを削除する方法について Ivanti ポータルを確認する必要があります。
- 接続または公開されている証明書、キー、パスワードの取り消しと再発行 – これには、管理者有効パスワードのリセット、保存されているアプリケーション プログラミング インターフェイス (API) キーのリセット、ゲートウェイで定義されているローカル ユーザーに属するパスワードのリセットが含まれます。 この最後のステップには、認証サーバーの構成に使用されるサービス アカウントを含める必要があります。
- 影響を受ける製品をサービスに戻したら、脆弱性を再解決する可能性のある将来のアップデートを常に把握してください。
また、CISA は、影響を受ける Ivanti 製品を実行している組織は、その製品に関連付けられたドメイン アカウントが侵害されたと想定する必要があるため、組織がハイブリッド展開を実行している場合は、オンプレミス アカウントのパスワードを 2 回推奨し、Kerberos チケットをすべて取り消し、クラウド アカウントの他のトークンを取り消すことを推奨しました。 。
しかし、物語はさらに大きく発展しました。 2 月 29 日、米国当局からの新しい勧告では、脅威アクターがどのようにして Ivanti の内部および外部の整合性チェッカー ツール (ICT) を欺き、CVE-2023-46805、CVE-2024-21887 による侵害の検出に失敗する可能性があるかについて詳しく説明されました。 、CVE-2024-22024、および CVE-2024-21893。
CISA は、過去数週間にわたる複数のインシデント対応活動中にこの問題を特定し、出荷時設定へのリセットが実行された後に脅威アクターがルートレベルの永続性を獲得できる可能性があるという CISA の懸念がラボベースのテストで検証されたと述べました。
これは大きな懸念事項であり、CISA は現在、セキュリティ チームに対し、影響を受けるアプライアンス内に保存されているユーザーおよびサービス アカウントの資格情報が侵害されている可能性があると想定し、更新されたアドバイザリの方法と IoC を使用してネットワーク上の悪意のあるアクティビティを追跡し、次の措置を適用するようアドバイスしています。バージョン更新のロールアウト時に Ivanti によって提供されるパッチ適用ガイダンス。
侵害または侵害の可能性が検出された場合、セキュリティ チームは悪意のあるアクティビティのログとアーティファクトを収集して分析し、アドバイザリ内のインシデント対応に関する推奨事項を適用する必要があります。
Ivanti について心配したほうがよいでしょうか、それとも使用をやめたほうがよいでしょうか?
2 月 29 日の更新に応じて、Ivanti は、特定された永続化手法はまだ実際には観察されていないと述べました。 ただし、外部整合性チェッカー ツール (ICT) の新しい拡張機能がリリースされ、顧客のアプライアンスとシステム上に存在するすべてのファイルの可視性が向上しました。 詳細については、こちらをご覧ください。
この状況を考慮すると、影響を受ける Ivanti 製品が安全に使用できるとは自信を持って言えませんし、そうも言えません。 これは、セキュリティ チームが現在のすべてのガイダンスに従った上で行う必要がある決定です。
顧客は、現在および将来において、自社に対する悪用の試みを目にすることが確実に予想されるため、対応策を講じることがさらに重要になります。
Ivanti は顧客をサポートし、顧客が侵害された証拠を見つけた場合のインシデント対応と調査に役立つ追加情報を伝達することに取り組んでいますが、それ自体はフォレンジック サイバー サービスの提供ではなく、完全に調査することはできないことに注意することが重要です。お客様に代わって発行します。 侵害された顧客は、フォレンジックプロバイダーの指導とサポートを求める必要があります。