Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等)
【概要】
Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways は VPN 製品です。
これらの製品において、任意のコマンド実行の脆弱性 (CVE-2024-21887) や、認証のバイパスが可能となる脆弱性 (CVE-2023-46805) が確認されています。
--- 2024 年 2 月 1 日更新 ---
さらに、権限昇格の脆弱性 (CVE-2024-21888) や、サーバー側のリクエストフォージェリの脆弱性 (CVE-2024-21893) が新たに確認されています。
--- 2024 年 2 月 9 日更新 ---
SAML コンポーネントにおいて、XML 外部実体参照 (XXE) の脆弱性 (CVE-2024-22024) が新たに確認されています。
これらの脆弱性が悪用されると、認証されていない遠隔の第三者によって任意のコマンドを実行等をされる可能性があります。
2024年 2 月 9 日現在、製品開発者から一部バージョン向けに修正パッチが提供されています。
製品開発者が公表している手順に従い、パッチの適用を実施、暫定的な緩和策を実施、または当該製品の一時的な使用停止を検討してください。
--- 2024 年 1 月 15 日更新 ---
本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大する可能性があるため、対策の実施についてご検討ください。
【影響を受けるシステム】
- Ivanti Connect Secure
- Ivanti Policy Secure
- Ivanti Neurons for ZTA
サポート対象の 22 系や 9 系のバージョンが影響を受けるとのことです。
すでにサポートが終了しているバージョンにおける影響は評価されておらず、製品開発者はサポート対象のバージョンへの移行を推奨しています。
【対策】
1.脆弱性の解消 - 修正プログラムの適用
--- 2024 年 2 月 9 日更新 ---
開発者が提供する情報をもとに、修正パッチを適用してください。開発者は、下記のバージョンにおいて本脆弱性を修正したパッチをリリースしています。
残りのバージョン向けのパッチも順次提供する予定とのことです。詳細は Ivanti が提供する最新の情報をご確認ください。
- Ivanti Connect Secure 9.1R14.5
- Ivanti Connect Secure 9.1R17.3
- Ivanti Connect Secure 9.1R18.4
- Ivanti Connect Secure 22.4R2.3
- Ivanti Connect Secure 22.5R1.2
- Ivanti Connect Secure 22.5R2.3
- Ivanti Connect Secure 22.6R2.2
- Ivanti Policy Secure 9.1R17.3
- Ivanti Policy Secure 9.1R18.4
- Ivanti Policy Secure 22.5R1.2
- Ivanti Neurons for ZTA 22.5R1.6
- Ivanti Neurons for ZTA 22.6R1.5
- Ivanti Neurons for ZTA 22.6R1.7
2.脆弱性の暫定的な緩和策
--- 2024 年 2 月 1 日更新 ---
製品開発者が公表している手順に従い、すぐに修正プログラムの適用ができない場合、緩和策の適用を実施してください。
詳細の内容や実施手順については、下記リンクよりご確認ください。
3.推奨対応
脆弱性を悪用されて機器が侵害された可能性を調べる方法については、Ivanti が提供するアドバイザリなどの最新の情報をご確認ください。
本情報を発行時点では、Ivanti が提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。
--- 2024 年 1 月 17 日更新 ---
Ivanti より、脆弱性を悪用されて、被害を受けてしまっている場合の復旧手順に関する情報が公開されています。
Ivanti が提供する最新の情報をご確認の上、調査や対応を行ってください。
出典:独立行政法人情報処理推進機構(IPA)