IvantiのVPN製品にゼロデイ脆弱性 - パッチ準備中、緩和策の実施を
Ivantiが提供するリモートアクセス製品「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure Gateway」に脆弱性が明らかとなった。すでに悪用が確認されているが、パッチは準備中であり、緩和策を講じるよう呼びかけられている。
同社は現地時間1月10日にセキュリティアドバイザリをリリースし、2件の脆弱性「CVE-2023-46805」「CVE-2024-21887」について明らかにするとともに対策を呼びかけたもの。
「CVE-2023-46805」は、ウェブコンポーネントにおいて認証のバイパスが可能となる脆弱性。また「CVE-2024-21887」はコマンドインジェクションの脆弱性で、管理者がウェブコンポーネントより任意のコマンドを実行できるという。
共通脆弱性評価システム「CVSSv3」においてベーススコアは、「CVE-2024-21887」が「9.1」、「CVE-2023-46805」が「8.2」となっているが、あくまでも脆弱性単体に対する評価である点に注意が必要だ。
これら脆弱性は組み合わせて悪用でき、認証なしに細工したリクエストによって任意のコマンドを実行することが可能。脆弱性を発見、報告したVolexityにおいてもこれら脆弱性が組み合わせて悪用されていたことを明らかにしている。
(Security NEXT - 2024/01/11 )
ツイート
関連リンク
PR
関連記事
デジタル人材育成施設でメールの誤送信が発生 - 群馬県
米当局、悪用脆弱性に6件追加 - SharePoint関連はランサムも悪用
「Apache httpd」のアクセス制御に脆弱性 - 条件分岐が常時「真」に
2Qの個人「サポート詐欺」相談は912件 - 検挙後に減少
一部「SonicOS」のSSL VPNに脆弱性 - DoS攻撃のおそれ
DBD攻撃で拡大、ランサムウェア「Interlock」に警戒を
Apple、「macOS Sequoia 15.6」など公開 - 脆弱性87件を修正
2Qの脆弱性届出は99件 - ウェブサイト関連が倍増
6月はフィッシング報告が減少、証券関連影響 - URLは増加
ペット保険システムにサイバー攻撃、情報流出の可能性 - アクサ損保