Ivanti、ノルウェー政府への攻撃で悪用された第2のゼロデイ脆弱性について注意喚起:CVE-2023-35081 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Ivanti、ノルウェー政府への攻撃で悪用された第2のゼロデイ脆弱性について注意喚起:CVE-2023-35081

Threat Report

Silobreaker-CyberAlert

Ivanti、ノルウェー政府への攻撃で悪用された第2のゼロデイ脆弱性について注意喚起:CVE-2023-35081

佐々山 Tacos

佐々山 Tacos

2023.07.31

Ivanti、ノルウェー政府への攻撃で悪用された第2のゼロデイ脆弱性について注意喚起:CVE-2023-35081

Ivantiは28日、Endpoint Manager Mobile(EPMM/旧MobileIron)における新たなゼロデイ脆弱性CVE-2023-35081に関するアドバイザリをリリース。この脆弱性は、ノルウェーの12省庁に対する攻撃において、先週修正された別の脆弱性CVE-2023-35078とともに悪用されていたという。

新たなゼロデイ脆弱性CVE-2023-35081(CVSS:7.2)

CVE-2023-35081はIvanti EPMMにおけるパストラバーサルの脆弱性で、遠隔の攻撃者による任意のファイル書き込みを可能にするもの。CVE-2023-35078と併せて悪用される場合があり、これにより管理者認証やACLによる制限措置(適用されていた場合)がバイパスされる恐れがあるという。悪用が成功すれば、攻撃者はアプライアンス上でTomcatユーザーとしてOSコマンドを実行できるようになる可能性がある。

脆弱性CVE-2023-35078(CVSS:10.0)

CVE-2023-35078は、Ivanti EPMMにおける認証バイパスのゼロデイ脆弱性で、権限を持たないユーザーであってもこれを悪用すればアクセスの制限された機能やアプリケーションのリソースへ、適切な認証なしでアクセスできるようになるという。最悪の場合、これを悪用した攻撃者がユーザーの個人情報にアクセスしたり、サーバーへ変更を加えたりすることが考えられる。

PoCとされるものもGitHub上に公開される

GitHub上には早くも、同脆弱性のPoCとされるものがVaishno Chaitanyaというユーザーによって動画付きで公開されている。ただし、このPoCの真正性は不明。

ノルウェーの12省庁に対する攻撃

CVE-2023-35078のパッチは、CVE-2023-35081より一足早く24日にリリースされていた。翌日には、別のニュースでノルウェーの12省庁がサイバー攻撃を受けたことが報じられた。ノルウェー政府は当初、攻撃で悪用されたのは12省庁が共通して利用するサードパーティプラットフォームの脆弱性であると述べていた。しかしその後、同じ日のうちにこのプラットフォームがIvantiのEPMMであり、当該脆弱性がCVE-2023-35078であることが明らかになっていた。

なお、この攻撃によりノルウェー政府の業務運営に支障が生じることはなかったものの、攻撃者により機微なデータがアクセスを受けたか、抜き取られた可能性があるという。

世界各地の政府がIvanti EPMMを利用

EPMMは、世界各国の政府に広く使用されている製品。特に米国やヨーロッパでは多く使われており、CISAも上記の脆弱性へのパッチ適用を促している。

なお、Shadowserverが7月25日発表したデータによれば、24日時点でCVE-2023-35078に対して脆弱なユニークIP数は全世界で「2,729」、日本に関しては「42」あったとされる。

(情報源:Ivanti ”CVE-2023-35081 – Remote Arbitrary File Write“、Ivanti ”CVE-2023-35078 – Remote Unauthenticated API Access Vulnerability”、The Record “Ivanti warns of second vulnerability used in attacks on Norway gov’t”)

イスラエル最大の石油精製業者WebサイトがDDoS攻撃でオフラインに、Cyber Avengersが犯行声明

イスラエルの石油精製大手BAZAN GroupのWebサイトが、サイバー攻撃の影響によりアクセス不能状態となっている。これに関し、イランのハクティビストグループである「Cyber Avengers」(別表記「CyberAv3ngers」)はTelegramチャンネル内において、今週末にかけてBAZANのネットワークを侵害したと主張。さらに、同社のSCADAシステムのスクリーンショットと思われる画像もリークしたという。

BAZAN Groupとは?

BAZAN Groupはイスラエルのハイファ湾に位置する同国最大の石油精製企業で、1年あたり約980万トンもの原油を精製できるとされる。その年間収益は135億ドルを超え、1,800人以上の従業員を抱える。

今週末以降、同社のWebサイトbazan.co.ilおよびeng.bazan.co.ilへアクセスしようとするとエラー画面が表示される状態が続いている。筆者が試したところ、本記事執筆時点ではまだいずれのサイトへもアクセスできなくなっていた。ただし、BleepingComputerによればイスラエル国内からのアクセスは可能となっていることから、おそらく今後の攻撃への対処策としてBAZANがジオブロックを適用したものとみられる。

Cyber Avengersが犯行声明・データリークも、BAZANは「捏造」だと否定

イランのハクティビストグループ「Cyber Avengers」は、BAZANに対する攻撃を行ったとTelegramチャンネルで主張した上、同社のSCADAシステム(産業用制御システムを監視・運用するのに使われるソフトウェアアプリケーション群)のスクリーンショットとみられる画像も公開している。これらの画像は、「フレアガス回収ユニット」、「アミン再生」システム、石油化学原料用の「スプリッターセクション」、PLCコードを写したものだと思われるという。

同グループはさらに、BAZANが用いるCheck Point製ファイアウォールを狙ったエクスプロイトコードを使って同社を侵害したとも仄めかしている。

ただ、BAZAN自体はBleepingComputerの取材に対し、リークされた情報は「完全なる捏造」だと述べている。同社によれば、DDoS攻撃中にWebサイトで一時的な障害が発生したものの、サーバーや資産へのダメージはなかったという。同社は、この攻撃およびデータリークを、誤った情報を広めて人々へ心理的な影響を与えることを目的としたプロパガンダ行為だと考えている。

またCheck Pointも、自社製ファイアウォールにはこのような攻撃を可能にする脆弱性は存在しないと述べ、Cyber Avengersの主張はすべて虚偽であると指摘した。

(情報源:Bleeping Computer “Israel’s largest oil refinery website offline after DDoS attack”)

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ