Ivanti

CISAは本日、脆弱性のあるEndpoint Manager(EPM)アプライアンス上で脅威者がリモート・コード実行を行うことができるIvantiの重大な脆弱性が、現在攻撃において積極的に悪用されていると警告した。

Ivanti EPMは、管理者がWindows、macOS、Chrome OS、IoTオペレーティング・システムなど、さまざまなプラットフォーム上のクライアント・デバイスを管理できるオールインワンのエンドポイント管理ソリューションです。

CVE-2024-29824 として追跡されているこの SQL インジェクションの脆弱性は、Ivanti EPM の Core サーバーに存在し、同じネットワーク内の認証されていない攻撃者が、パッチを適用していないシステム上で任意のコードを実行するために悪用することができます。

Ivanti社は、5月にこのセキュリティ欠陥を修正するセキュリティアップデートをリリースし、EPMのCoreサーバーの他の5つのリモートコード実行のバグにも対処しました。

Horizon3.aiのセキュリティ研究者は6月にCVE-2024-29824のディープダイブを発表し、「脆弱なIvanti EPMアプライアンス上でコマンドをブラインド実行する」ために使用できる概念実証のエクスプロイトをGitHubで公開した

彼らはまた、自分のアプライアンスで悪用の可能性がある兆候を探している管理者に、コマンド実行を得るためにxp_cmdshellが使用されている証拠がないかMS SQLログを確認するよう助言した。

本日、Ivanti 社は元のセキュリティ勧告を更新し、「CVE-2024-29824 の悪用を確認した」と記載した。

「この更新の時点では、悪用された顧客の数は限られていると認識しています。

連邦政府機関は3週間以内にパッチを当てるよう命令

火曜日、CISA はこれに続き、Ivanti EPM RCE の欠陥をKnown Exploited Vulnerabilities catalog追加し、積極的に悪用されているとタグ付けした。

連邦民間行政機関(FCEB)は、拘束的運用指令(BOD)22-01)の要求通り、10月23日までに3週間以内に脆弱なアプライアンスを保護しなければならなくなった、

CISAのKEVカタログは、主に連邦政府機関にできるだけ早くパッチを当てるべき脆弱性を警告するためのものですが、世界中の組織も、進行中の攻撃をブロックするために、この脆弱性に優先的にパッチを当てるべきです。

Ivanti社の複数の脆弱性は、ここ数カ月間、同社のVPNアプライアンスや ICS、IPS、ZTAゲートウェイを標的とした広範な攻撃でゼロデイ欠陥として悪用されている。

先月、Ivanti 社は、最近修正された 2 つのクラウド・サービス・アプライアンス(CSA)の脆弱性を連鎖させて、脅威者がパッチの適用されていないアプライアンスを攻撃していると警告した。

これを受けてIvantiは9月、このようなセキュリティ脅威に迅速に対処するため、責任ある情報開示プロセスとテスト機能の改善に取り組んでいると発表した。

Ivantiは7,000以上の組織と提携し、システムおよびIT資産管理ソリューションを世界40,000社以上に提供している。