Ivanti、RCEやDoSに繋がり得る脆弱性を修正(CVE-2024-21894他) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Ivanti、RCEやDoSに繋がり得る脆弱性を修正(CVE-2024-21894他)

Threat Report

Silobreaker-CyberAlert

Ivanti、RCEやDoSに繋がり得る脆弱性を修正(CVE-2024-21894他)

佐々山 Tacos

佐々山 Tacos

2024.04.04

4月4日:サイバーセキュリティ関連ニュース

Ivanti、RCEやDoS攻撃に繋がり得るVPNゲートウェイの脆弱性を修正(CVE-2024-21894他)

BleepingComputer – April 3, 2024 

Ivantiが、Connect SecureおよびPolicy Secureゲートウェイに影響を与える脆弱性4件のパッチをリリース。うちCVE-2024-21894に関しては、認証されていない悪意あるユーザーによるDoS攻撃や任意コードの実行を可能にする恐れがある。

 

  • CVE-2024-21894(ヒープオーバーフローの脆弱性、CVSS 8.2):認証されていない悪意あるユーザーが悪用すると、特別に細工されたリクエストを送信してサービスをクラッシュさせるDoS攻撃を実施できるようになるほか、特定の条件下では任意コードの実行にも繋がる恐れがある。
  • CVE-2024-22052(NULL ポインタ参照の脆弱性、CVSS 7.5):認証されていない悪意あるユーザーが悪用すると、特別に細工されたリクエストを送信してサービスをクラッシュさせるDoS攻撃を実施できるようになる。
  • CVE-2024-22053(ヒープオーバーフローの脆弱性、CVSS 8.2):認証されていない悪意あるユーザーが悪用すると、特別に細工されたリクエストを送信してサービスをクラッシュさせるDoS攻撃を実施できるようになるか、あるいは特定の条件下においてメモリからコンテンツを読み取れるようになる。
  • CVE-2024-22023(XMLエンティティ拡張またはXEEの脆弱性、CVSS 5.3):認証されていない悪意あるユーザーが悪用すると、特別に細工されたXMLリクエストを送信して一時的にリソース疲弊を引き起こし、一時的なDoS状態に繋げることができるようになる。

 

Ivantiによれば、脆弱性情報の開示時点において上記4件の悪用による侵害を受けた顧客は確認されていないとのこと。

新ランサムウェア「SEXi」がホスティング会社のVMware ESXiサーバーを攻撃

BleepingComputer – April 3, 2024 

新たなランサムウェアグループ「SEXi」がチリ企業IxMetro Powerhostを攻撃し、同社のVMware ESXiサーバーとバックアップを暗号化。復号鍵と引き換えに、各被害者につき2ビットコイン(1億4,000万ドルに相当)の身代金を要求したという。なお、この攻撃者がリークサイトを通じた二重恐喝攻撃を実施するためにデータを窃取しているか否かについては不明。

IxMetroはデータセンターかつホスティングプロバイダーで、同社のESXiサーバーは顧客向けのVPSをホストするために使用されている。SEXiの攻撃により、顧客のWebサイトやサービスは現在ダウン中であり、IxMetroは数テラバイト分ものデータをバックアップから復元しようと試みているという。一方で親会社のPowerHostは、最新の声明において、バックアップも同様に暗号化されていることからサーバーは復旧できないかもしれない、と顧客に謝罪した。

今回の攻撃に使われたランサムウェアは、暗号化したファイルに「.SEXi」という拡張子を追加し、「SEXi.txt」というファイル名の身代金要求メモ(ランサムノート)を残す。SEXiは2023年3月から攻撃を開始したかなり新しいランサムウェアで、これまでのところ標的になっているのはVMWare ESXiサーバーのみ。ただし、暗号化ツールのサンプルが見つかっていないことから、Windowsサーバーが標的の範疇でないとは完全には言い切れないという。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ