Ivanti、悪用されているCSAのゼロデイを3件修正：CVE-2024-9379、CVE-2024-9380、CVE-2024-9381

10月9日：サイバーセキュリティ関連ニュース

Ivanti、悪用されているCSAのゼロデイを3件修正：CVE-2024-9379、CVE-2024-9380、CVE-2024-9381

Help Net Security – October 8, 2024

Ivantiは8日、Cloud Services Appliance（CSA）の3件のゼロデイ脆弱性を追加で修正した。これらは、同社が以前に修正したゼロデイバグCVE-2024-8963と連鎖させた上で悪用されていたことが確認されている。

CVE-2024-8963はパストラバーサルの脆弱性。認証されていない攻撃者がリモートで制限された機能にアクセスすることを可能にするもので、CVE-2024-8190（OSコマンドインジェクションの脆弱性）とともに悪用されていた。なお、両脆弱性とも9月下旬に修正済み。

今回新たに修正されたのは、以下の3件の欠陥。

• CVE-2024-9379：SQLインジェクションの脆弱性。管理者権限を持つ認証済みのリモートの攻撃者が悪用すると、任意のSQLステートメントを実行できるようになる。
• CVE-2024-9380：OSコマンドインジェクションの脆弱性。管理者権限を持つ認証済みの攻撃者がリモートでコードを実行できるようになる。
• CVE-2024-9381：パストラバーサルの脆弱性。管理者権限を持つ認証済みのリモートの攻撃者が制限をバイパスできるようになる。

上記3件の欠陥はすべてCSAの5.0.2より前のバージョン、つまりIvanti CSA v5.0.1以前、およびサポートが終了したIvanti CSA v4.6に影響するが、悪用行為が確認されたのは、CSA 4.6 patch 518以前のバージョンを使用しているシステムのみだという。

サポートが終了しているIvanti CSA v4.6の修正は先月10日にリリースされたもので最後となるため、同社はIvanti CSA v5.0.2にアップグレードするよう顧客に推奨するとともに、侵害の兆候やEDRのアラートを確認することなども勧めている。

アドビ、CommerceおよびMagento製品の重大バグにパッチ（CVE-2024-45115他）

SecurityWeek – October 8, 2024

アドビが8日、複数の製品ラインのセキュリティ欠陥に向けた緊急パッチをリリース。WindowsやmacOSといったプラットフォームで、コード実行などが行われるリスクについて警告した。

今回発表されたセキュリティ速報では、Adobe Commerceに存在する25件の脆弱性について説明されている。これらはコード実行や特権昇格、セキュリティ機能のバイパスなどを許す可能性があるとされており、報告された脆弱性の中にはCVSSスコアが9.8/10と評価されているCVE-2024-45115もある。

アドビによると、これらの脆弱性はAdobe Commerce 2.4.7-p2以前のバージョンや、Magento Open Source 2.4.7-p2以前のバージョンなどに影響を与えるとのこと。

なお同社のプロダクトセキュリティインシデント対応チームは、今月報告された上記の問題について、実際の攻撃で悪用された事例は認識していないと述べた。