Ivanti製品がサイバー攻撃の温床に またもや発見された厄介な4つの脆弱性

セキュリティ関連のソリューション自体を狙うサイバー攻撃が増加している。Ivantiの製品も例外ではない。

[Rob Wright，Cybersecurity Dive]

　ペネトレーションテストのソリューションを提供するHorizon3.aiの研究者は2025年2月19日、Ivantiのセキュリティ製品で見つかった4つの脆弱（ぜいじゃく）性について詳細な情報を公開した。

　Ivantiはこれらの脆弱性について2025年1月に情報を公開し、パッチも提供した。その後、Horizon3.aiが脆弱性の技術的な詳細と概念実証（PoC）のためのプログラムを公開した。

Ivanti製品がサイバー攻撃の温床に

　Horizon3.aiによると、絶対パスを利用したパストラバーサルの脆弱性が統合エンドポイント管理（UEM）ソリューションの「Ivanti Endpoint Manager」（Ivanti EPM）に影響を及ぼす。この脆弱性を悪用すると、認証されていない攻撃者がIvanti EPMのマシンアカウントにおける認証情報を操作できるようになる。これがリレー攻撃につながり、最悪の場合、サーバが侵害されてしまう。

　近年、Ivantiの製品は攻撃者の格好の標的になった（注1）。さまざまな攻撃者がゼロデイ脆弱性や、すでに公開されている脆弱性を悪用し、ネットワークエッジデバイスを侵害して被害組織へのアクセスを試みている。

　Ivanti製品に関連する今回の4つの脆弱性は、まだ実際の攻撃に悪用されていないものの、PoCや技術的な詳細が公開されたことによりサイバー攻撃のリスクが高まった。これらの詳細情報はベンダーの公式発表から時間を置いて発表され、防御策の開発などに役立つ。

　とはいえ、ユーザー企業の対応は遅れがちだ。そのため、攻撃者はサイバーセキュリティ企業や独立系の研究者が公開したPoCをしばしば利用する。2025年2月には、サイバーセキュリティ企業のBishop Foxの研究者たちがPoCを公開した後、SonicWallの重大な脆弱性が悪用されてしまった（注2）。

　Horizon3.aiのザック・ハンリー氏（チーフ・アタックエンジニア）は2025年2月19日、「攻撃者はこれらの脆弱性を悪用してマシンアカウントを追加したり、委任された管理者アカウントのアクセス権を中継したりすることができる」と述べた（注3）。同氏によると、攻撃者は組織内の全てのIvanti EPMクライアントを侵害できる可能性があるという。

　「リレー攻撃の技術は特に新しいものではないが、脆弱性がもたらす影響を示すことは深刻さを伝える上で重要だ。ただし、影響の度合いは環境によって異なる」（ハンリー氏）

Ivanti EPMに関連する4つの脆弱性とは

　今回問題になっている4つの脆弱性を次に挙げる。

（1）EPMのGetHashForFileにおける認証情報の強制取得を可能にする「CVE-2024-10811」（注4）

（2）GetHashForWildcardRecursiveにおける認証情報の強制取得を可能にする「CVE-2024-13159」（注5）

（3）GetHashForWildcardにおける認証情報の強制取得を可能にする「CVE-2024-13160」（注6）

（4）GetHashForSingleFileにおける認証情報の強制取得を可能にする「CVE-2024-13161」（注7）

　これら4つの脆弱性は共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.8」と高い。

　ハンリー氏は「Cybersecurity Dive」に対して次のように語った。

　「これらの脆弱性は悪用が容易な一方で、必ずしも発見が簡単というわけではなかった。コードベースが非常に大きいため、アプリケーションの未認証の攻撃対象領域を理解し、それをバックエンドのコードにマッピングする作業に多大な時間が必要だった」

PoCの公開は時期尚早ではなかった

　Horizon3.aiによると（注8）、同社は2024年10月15日に、これら4つの脆弱性をIvantiに報告し、翌日にはIvantiが情報の受領を確認した。Ivantiは他の複数の脆弱性とともに、2025年1月13日に脆弱性があることを公表し（注9）、同時に修正パッチを提供した。ハンリー氏によると、Ivantiの顧客がソフトウェアを更新するための期間を長く確保できるように、Horizon3.aiは、パッチの公開からさらに30日間待って技術的詳細を公開することに同意したという。

　Ivantiの広報担当者は、Cybersecurity Diveに対し次のような声明を発表した。

　「当社は2025年1月14日にこれらの脆弱性に対応する修正を公開しており、現在のところ悪用の証拠は確認されていない。しかし、新たな情報が公に出回ることで潜在的な悪用のリスクが高まるため、パッチを適用していないEPMの顧客は、当社が以前公開した指示に従って直ちに対応することを強く推奨する」

出典：Proof-of-concept exploit released for 4 Ivanti vulnerabilities（Cybersecurity Dive）
注1：Ivanti zero-days chained together in at least 3 attacks, authorities warn（Cybersecurity Dive）
注2：SonicWall authentication flaw under threat of active exploitation（Cybersecurity Dive）
注3：Ivanti Endpoint Manager - Multiple Credential Coercion Vulnerabilities（Horizon3.ai）
注4：CVE-2024-10811 Detail（NIST）
注5：CVE-2024-13159 Detail（NIST）
注6：CVE-2024-13160 Detail（NIST）
注7：CVE-2024-13161 Detail（NIST）
注8：No one likes to sit around exposed.（Horizon3.ai）
注9：Security Advisory EPM January 2025 for EPM 2024 and EPM 2022 SU6（Ivanti）

原文へのリンク