Ivantiが新たなゼロデイについて警告 既に攻撃での悪用あり:CVE-2024-21893 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Ivantiが新たなゼロデイについて警告 既に攻撃での悪用あり:CVE-2024-21893

Threat Report

APT

Ivanti

Silobreaker-CyberAlert

Ivantiが新たなゼロデイについて警告 既に攻撃での悪用あり:CVE-2024-21893

山口 Tacos

山口 Tacos

2024.02.01

IvantiがConnect Secureの新たなゼロデイについて警告 既に攻撃での悪用あり:CVE-2024-21893

(情報源:BleepingComputer

Ivantiが、Connect Secure、Policy SecureおよびZTAゲートウェイに影響を与える新たな脆弱性CVE-2024-21893およびCVE-2024-21888について注意喚起。前者は既にゼロデイとして悪用されているという。

新たな脆弱性2件:CVE-2024-21893、CVE-2024-21888

1つ目のCVE-2024-21893(CVSS 8.2)はSAMLコンポーネントにおけるサーバーサイドリクエストフォージェリの脆弱性で、認証のバイパスや、アクセスの制限されたリソースへのアクセスを可能にする恐れがある。Ivantiによれば、アドバイザリ公開時点で少数の顧客がこの脆弱性による影響を受けているという。

2件目のCVE-2024-21888(CVSS 8.8)はWebコンポーネントにおける特権昇格の脆弱性で、攻撃者がこれを悪用して管理者権限を得る恐れがある。この脆弱性に関しては顧客が影響を受けた形跡はない、とIvantiは述べている。

ZTAおよびConnect Secureの一部バージョン向けに両脆弱性のセキュリティパッチがリリースされているほか、パッチ未適用のデバイス向けの緩和策も提供された。Ivantiは、「完全に保護された状態を確保するため速やかに行動を起こすことが不可欠」であると警告している。

遅延していたCVE-2023-46805、CVE-2024-21887のパッチもリリース

Ivantiはまた、1月11日以降広範な攻撃で悪用されている別のゼロデイ脆弱性2件(CVE-2023-46805、CVE-2024-21887)に対するパッチも31日にリリース。もともと22日の週のリリースが予定されていたが、パッチのテストなどに問題があったことから遅れが生じていた。

参考記事:Ivanti、ゼロデイに対応したパッチを予定通り公開することに苦戦(CVE-2023-46805、CVE-2024-21887)

CVE-2023-46805は認証バイパス、CVE-2024-21887はコマンドインジェクションの脆弱性で、連鎖させることにより認証されていない状態でもリモートでコードを実行できるようになる。これらを悪用した攻撃の被害者としては、これまでに世界各地の政府組織や軍関連組織、国家電気通信事業者、防衛請負業者、銀行・金融業界の組織などが観測されているという。MandiantやVolexity、GreyNoiseなどが報じたところによると、攻撃者はこうした組織を侵害して5種類のカスタムマルウェアやクリプトマイナーXMRig、Rustベースのマルウェアペイロードなどを展開しているとのこと。

関連記事

Threat Report

Threat Report

APT

Ivanti

Silobreaker-CyberAlert

Ivanti Connect Secureに重大なゼロデイ2件:CVE-2023-46805、CVE-2024-21887

山口 Tacos

山口 Tacos

2024.02.01

2月1日: その他のサイバーセキュリティ関連ニュース

米政府、中国APT Volt Typhoonが用いていたSOHOルーターボットネットをテイクダウン

SecurityWeek – January 31, 2024

米国政府は31日、中国のAPTグループVolt Typhoonが使用していたとされるボットネットをテイクダウンしたと発表。このニュースは30日にロイター通信によって「情報筋の話」として報じられていたが、その時点で米政府は声明を出しておらず、詳細も明かされていなかった。

参考記事:米政府、重要インフラ狙う中国のハッキングネットワークを無効化

今回テイクダウンされたのは、KV Botnetと呼ばれるボットネット。EOLステータスの脆弱なシスコ製ルーターやNetgear製ルーターから成り、Volt Typhoonの秘密の通信チャネルとして使われていたという。同ボットネットとVolt Typhoonとの関連については、2か月ほど前にLumen Technologiesによって指摘されていた。

参考記事:中国APT Volt Typhoon、SOHOルーターの不滅のボットネットに関与か

米司法省が公開した声明によれば、FBIは裁判所の許可を得てこれらのルーターから遠隔でKV Botnetマルウェアを削除し、ルーターとボットネットの接続を切断するための追加の措置を講じたという。FBIは、対象となったSOHOルーターの所有者または管理者全員への通知を行っていることも明かした。

Torコード監査で脆弱性が17件発見される

SecurityWeek – January 31, 2024

匿名ネットワークTorの複数のコンポーネントに焦点を当てた包括的なコードセキュリティ監査により、「高リスク」に分類された問題1件を含む合計17件の脆弱性が発見された。

この監査は非営利のサイバーセキュリティコンサルタント機関によって2023年4月から8月にかけて実施されており、Torブラウザや、出口リレー、公開サービス、インフラ、テストツール、プロファイリングツールが監査の対象となった。 

発見された脆弱性の多くはDoS攻撃や、セキュリティのバイパスなどに悪用される恐れのある中・低リスクの欠陥だという。中には、旧型かメンテナンスが行われていないサードパーティ製コンポーネントの使用に関連しているものもあるようだ。

最も深刻な脆弱性は、Onion Bandwidth Scanner(Onbasca)に影響するクロスサイトリクエストフォージェリ(CSRF)のバグだという。この脆弱性により、認証されていない攻撃者は標的のデータベースにブリッジを注入できるようになる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ