9月14〜17日:サイバーセキュリティ関連ニュース
Ivanti CSAの脆弱性、開示から数日で悪用始まる:CVE-2024-8190
SecurityWeek – September 16, 2024
Ivanti Cloud Service Appliance(CSA)における脆弱性CVE-2024-8190が、開示のほんの数日後から実際の攻撃で悪用され始めたという。Ivantiが9月10日に公開したアドバイザリを13日に更新し、「限られた数の顧客が悪用されていることを認識している」と伝えた。
CVE-2024-8190はバージョン4.6 Patch 518以前のCSAにおけるOSコマンドインジェクションの脆弱性で、CVSSスコアは7.2(High) 。認証済みの遠隔の攻撃者に悪用された場合、リモートコード実行に繋がる恐れがあるとされる。Ivantiはこの脆弱性を10日に開示し、修正版のリリースをアナウンスしたものの、その後まもなく悪用が開始されたことを顧客に伝えた。また米国CISAも、同脆弱性をKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加して連邦政府機関へ期限内の対処を義務付けている。
CVE-2024-8190がどのような攻撃で悪用されているかは現時点で不明。ただ、この脆弱性の悪用には管理者権限が必要になることから、その他の脆弱性と併用されている可能性が高いとSecurityWeekは報じている。
Ivanti EPMのRCE脆弱性、PoCエクスプロイトコードを研究者がリリース:CVE-2024-29847
BleepingComputer – September 16, 2024
最近修正されたIvanti Endpoint Manager(EPM)における脆弱性CVE-2024-29847のPoCエクスプロイトを、セキュリティ研究者Sina Kheirkhah氏がリリース。アップデートの緊急性がますます高まっている。
CVE-2024-29847は、EPM 2024および2022 SU6以前のバージョンに影響を与えるRCEの脆弱性。AgentPortal.exeに存在する安全でないデシリアライゼーションの問題に起因するもので、Kheirkhah氏によれば、このAgentPortalサービスを悪用することで認証を経ずにリモートコード実行を達成することが可能になるという。
今回脆弱性の詳細とPoCエクスプロイトが公開されたことで、実際の攻撃でもCVE-2024-29847が悪用され始めるリスクが懸念されている。利用者には、速やかにIvantiがリリースした「ホットパッチ」を適用することが推奨される。