目次

Ivanti VPN の脆弱性:知っておくべきこと

目次

中国の国家に支援されたハッカーは、最近発表された Ivanti VPN 製品、Ivanti Connect Secure (旧 Pulse Secure) および Ivanti Policy Secure ゲートウェイの脆弱性を標的としています。これらの脆弱性は CVE-2023-46805、CVE-2024-21887、CVE-2024-21888 および CVE-2024-21893 として報告されています。

これらの脆弱性を併用すると、認証のバイパスやリモートからのコマンド実行を許してしまう可能性があります。Ivanti社は、これらの脆弱性に対するパッチを同社製品の最も使用されているバージョンに対してリリースしていますが、同社製品のすべての脆弱性バージョンに対するパッチはまだリリースされていません。このため、パッチを適用できていないユーザーにとっては、特権の昇格やサーバーサイドリクエストフォージェリのリスクが高まります。

 

Ivantiのセキュリティ対策と推奨事項

Unit 42® では、これらの脆弱性に対してパッチが提供されたら直ちに適用し、パッチ適用前にシステムのリセットを積極的に行い、環境の完全性を確保することを推奨しています。新たに発見された脆弱性に対して、私たちは、侵害されたソリューションのネットワーク切断を推奨するCISAの勧告を支持し、利用可能なパッチまたは近日公開予定のパッチを真摯に適用することの重要性を強調します。

Threat Vectorポッドキャストの最新セグメントでは、Unit 42のサイバーセキュリティ専門家であるサム・ルービン(副社長兼グローバルオペレーション責任者)とインテル・レスポンス・ユニットのシニアマネージャーであるイングリッド・パーカーが、Ivantiのコネクトセキュアおよびポリシーセキュリティ製品に見つかった重大な脆弱性について深く掘り下げています。脆弱性の潜在的な影響、緩和の緊急性、防御の戦略などを探ります。

ベクターポッドキャスト
white triangle

お気に入りのポッドキャスト・プレーヤーでご視聴ください。

 

ユニット 42 事故対応事例

CVE-2023-46805およびCVE-2024-21887 Ivanti脆弱性の悪用キャンペーンは、3つの異なる波で発生しました。

最初の波は、少なくとも2023年12月の第2週から、Volexityが最初のブログ記事を発表した2024年1月10日まで続きました。このキャンペーンにおける攻撃は標的型であり、複数のカスタムウェブシェルと横方向の移動を特徴としていました。ユニット42は、このキャンペーンの波に対応すると思われる脅威活動に対応しました。

Volexityのブログ記事で議論されている活動と同様に、脅威アクターが以下の活動を行っていることを確認しました:

  • 流出前に7-Zipを使用してNTDS.ditを含むファイルをアーカイブします。
  • Windowsタスクマネージャ(Taskmgr.exe)を使ってLSASSプロセスのメモリダンプを作成します。
  • リモートデスクトッププロトコル(RDP)による横方向の移動
  • ログの削除

第二の波は、2024年1月10日のVolexityの最初のブログ記事の後に始まりました。この波は、標的型攻撃から、新たな脅威アクターによる集団的悪用へのシフトによって特徴付けられました。

ユニット42は、このキャンペーンの波に対応すると思われる脅威活動に対応しました。脅迫行為はこれらのケースで一貫していました。

脅威アクターは、ネットワーク内のさまざまなユーザーやアカウントのスキーマ、設定、名前、認証情報を含む設定データをダンプしましたが、最初の波で発生したインシデントのような横の動きは行いませんでした。

Unit 42は、この活動の背後にいる脅威アクターは、組織がパッチ適用や緩和策の適用を開始する前に、影響を最大化するために、より広範な悪用に焦点を移した可能性があると考えています。

第三の波は、概念実証(PoC)エクスプロイトが一般公開された2024年1月16日に早くも始まりました。これらのエクスプロイトがリリースされると、暗号通貨マイニングやさまざまなリモート監視・管理(RMM)ソフトウェアを広くデプロイする犯罪組織など、さまざまな動機や高度さを持つさまざまなアクターによる大量悪用につながります。

Unit 42は、一般に公開されているPoCエクスプロイトを使用した脅威アクターによる、この波に該当すると思われる脅威活動に対応しました。私たちは現在、これらのインシデントを調査しているクライアントをサポートしています。

包括的なイヴァナティ弁護戦略

このような脆弱性が発見されたことは、警戒を怠らないセキュリティ対策と迅速な対応能力の必要性を強調するものです。これにより、広く利用されている仮想プライベートネットワーク(VPN)技術に存在する、巧妙な脅威アクターに悪用される重大なセキュリティ脆弱性が浮き彫りになりました。これらの脆弱性は、不正なアクセスや制御を可能にし、組織のネットワークに重大なリスクをもたらします。

以下の戦略は、進化するサイバー脅威に対して強固なセキュリティ態勢を維持し、機密情報と重要インフラの保護を確保するために不可欠です:

  • 資産の棚卸しすべてのネットワーク機器、システム、ソフトウェアのカタログ。
  • 正しい道具を選びましょう:IT環境の複雑さと大規模化に最適な脆弱性スキャンツールをご活用ください。
  • 脆弱性のスキャン定期的にスキャンを実行し、システムのセキュリティ上の弱点を特定します。
  • 結果を分析します:スキャン結果を慎重に確認し、重大度と潜在的な影響に基づいて脆弱性に優先順位を付けます。
  • 修復とパッチ:特定された脆弱性を緩和するために必要なパッチまたは回避策を適用します。
  • 繰り返し、復習してください:新たな脅威に対応するために、セキュリティ態勢を監視し、再評価します。

先進のIvanti Emerging Threat Reportをぜひご覧ください:

ユニット 42 新たな脅威レポート

ユニット 42 新たな脅威レポート:複数のIvantiの脆弱性

包括的なサイバーセキュリティ戦略の採用

潜在的なサイバー脅威からネットワークを保護するためには、重要な測定可能な対策を講じることが不可欠です。ネットワークを保護する方法には、アプリケーションやVPNを攻撃者から保護するために、一般のインターネットから見えないようにする方法があります。また、マルウェアやゼロデイ・エクスプロイトなどの脅威を無効化するために、すべてのインバウンド・トラフィックとアウトバウンド・トラフィックを徹底的に検査する必要があります。

ネットワーク全体に最小特権の原則を適用することも重要なステップです。これにより、ユーザーは各自の役割に必要なリソースにのみアクセスできるようになります。また、堅牢な多要素認証を使用してユーザーIDを効果的に検証し、アクセス制御を強化する必要があります。

ユーザーを広範なネットワークではなく、アプリケーションに直接接続することも推奨されます。これにより、セキュリティインシデントによる潜在的な損害を最小限に抑えることができます。継続的なモニタリングの活用は、侵害されたインサイダーや外部の脅威アクターによる脅威を特定し、軽減するためにも不可欠です。

センシティブなデータを保護するためには、転送中と保管中の両方で、綿密な監視と暗号化を行う必要があります。欺瞞技術とプロアクティブな脅威ハンティングを採用することで、被害をもたらす前に脅威を特定し、無力化することができます。

組織内にセキュリティ意識の文化を醸成することは、フィッシングのような一般的なベクトルから身を守ることにもつながります。アセスメントやシミュレーションを通じてセキュリティ対策を定期的に評価することで、脆弱性を特定し、対処することができます。

Palo Alto Networks ゼロトラスト・アプローチ

このような脅威に対応するため、Palo Alto Networks はゼロトラストアーキテクチャの重要性を強調し、インターネット上の脅威に直接さらされることなく、アプリケーションへのセキュアでセグメント化されたアクセスを提供します。高度な脅威防御とセグメンテーション・ポリシーを含む当社のソリューションは、 アタックサーフェスを最小限に抑え、不正アクセスを防止し、 脅威をリアルタイムで検知して 対応するように設計されています。

 

企業のセキュリティ担当者のための Ivanti 脆弱性に関する 10 の FAQ 質問と回答

Ivanti 脆弱性とは、Ivanti 社が同社の Connect Secure および Policy Secure 製品において公開した 5 つの高度または重要な脆弱性(CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893、CVE-2024-22024)を指します。これらの脆弱性は、認証バイパスやコマンドインジェクションの脆弱性から、権限昇格やサーバーサイドリクエストフォージェリの脆弱性まで多岐にわたります。
これらの脆弱性により、Ivanti 製品への不正アクセスが可能となり、不正なコマンドの実行、権限の昇格、制限されたリソースへのアクセスにつながる可能性があります。これらの脆弱性は、エンタープライズネットワークに重大なリスクをもたらし、データ漏洩やネットワークサービスの中断につながる可能性があります。
これらの脆弱性が悪用された場合、攻撃者は制限されたリソースにアクセスできるようになり、管理者レベルまで特権を昇格させ、アプライアンス上で任意のコマンドを実行することさえ可能になります。これらの脆弱性が悪用されると、データ漏洩やネットワークサービスの中断、さらなるネットワークへの侵入につながる可能性があります。
Ivanti 社は、お使いの Ivanti 製品にこれらの脆弱性の兆候がないかどうかを確認するために、外部整合性チェッカー ツールを提供しています。本ツールは、これらの脆弱性に対応するため、機能を追加して更新されました。
お使いの Ivanti 製品に影響がある場合は、提供されるパッチが利用可能になり次第、すぐに適用することをお勧めします。パッチがまだ提供されていない製品については、パッチがリリースされるまで回避策を実行することをお勧めします。
これらの脆弱性が悪用されたと思われる場合は、CISA が推奨するように、影響を受ける Ivanti 製品をネットワークから切断してください。また、インシデント対応プロセスを開始し、侵害の兆候を調査し、サイバーセキュリティの専門家の支援を受けることを検討する必要があります。Palo Alto Networks Unit 42がお手伝いいたしますので、お電話ください。
定期的な脆弱性スキャン、タイムリーなパッチ適用、弾力的なインシデント対応計画は、組織を保護するための鍵です。最小限のアクセス権、多要素認証、ネットワークのセグメンテーションなど、セキュリティのベストプラクティスに従うことも不可欠です。
具体的なIOCは、異常なネットワーク・トラフィック、予期しないシステム動作、不正アクセスや権限昇格の証拠など、さまざまです。より具体的なIOCは、Ivantiまたはお客様の セキュリティ・ソリューション・プロバイダーが 提供する場合があります。
最後の更新の時点で、145カ国で28,000を超えるIvanti Connect SecureおよびPolicy Secureのインスタンスが公開されています。観測可能性は600例以上。これらの脆弱性は、少なくとも2023年12月初旬以降、積極的に悪用されています。
はい、Palo Alto Networks のお客様は、Cortex Xpanse、次世代ファイアウォール with Advanced Threat Prevention、Advanced WildFire、Advanced URL Filtering and DNS Security、Cortex XDR and XSIAM などのさまざまな製品や機能を使用して、これらの脆弱性の緩和策を実装できます。
関連コンテンツ
情報セキュリティガバナンス
企業全体で一貫して情報を保護するためには、情報セキュリティ・プログラムをビジネス戦略や技術戦略と整合させるための適切な人材を確保する必要があります。
データポリシーによるデータ漏洩やマルウェアのスキャン
マルウェアを検出し、事前に定義されたデータプロファイルとデータパターンを使用して、機密データの不注意または悪意の暴露を防止します。
5 組織が360°の可視化とコンプライアンスを実現
組織がクラウド環境を一元的に可視化し、脆弱性を修正して脅威を排除する方法をご覧ください。
データの可視化と分類
多くの組織では、個人を特定できる情報など、重要なデータを十分に可視化できていません。これは、監査に直面し、データの優先順位を決定する際に問題となります。

最新ニュース、イベント情報、脅威アラートを配信