IvantiのVPN製品にゼロデイ脆弱性 - パッチ準備中、緩和策の実施を

Ivantiが提供するリモートアクセス製品「Ivanti Connect Secure（旧Pulse Connect Secure）」「Ivanti Policy Secure Gateway」に脆弱性が明らかとなった。すでに悪用が確認されているが、パッチは準備中であり、緩和策を講じるよう呼びかけられている。

同社は現地時間1月10日にセキュリティアドバイザリをリリースし、2件の脆弱性「CVE-2023-46805」「CVE-2024-21887」について明らかにするとともに対策を呼びかけたもの。

「CVE-2023-46805」は、ウェブコンポーネントにおいて認証のバイパスが可能となる脆弱性。また「CVE-2024-21887」はコマンドインジェクションの脆弱性で、管理者がウェブコンポーネントより任意のコマンドを実行できるという。

共通脆弱性評価システム「CVSSv3」においてベーススコアは、「CVE-2024-21887」が「9.1」、「CVE-2023-46805」が「8.2」となっているが、あくまでも脆弱性単体に対する評価である点に注意が必要だ。

これら脆弱性は組み合わせて悪用でき、認証なしに細工したリクエストによって任意のコマンドを実行することが可能。脆弱性を発見、報告したVolexityにおいてもこれら脆弱性が組み合わせて悪用されていたことを明らかにしている。

（Security NEXT - 2024/01/11 ） ツイート

PR

関連記事

Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出
保守委託先で顧客情報含むHDDが所在不明 - はばたき信組
サポート詐欺被害で情報流出の可能性 - 高齢・障害・求職者雇用支援機構
「改訂新版セキュリティエンジニアの教科書」が発売 - 日本シーサート協議会
「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起
QNAP製NASやアドオンに脆弱性 - 旧アドバイザリも更新、影響大きい脆弱性を追加
児童養護施設で児童の個人情報含む書類が所在不明 - 岐阜県
中小企業向けにネットワーク脅威の検知パッケージ - NTTセキュリティ
ジョギング大会の参加者名簿が所在不明に - 綾川町
保育施設運営事業者へのメールで誤送信、メアド流出 - 大阪市