米政府、IvantiのVPN製品脆弱性を受けて緊急指令
米政府は、「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure Gateway」に深刻な脆弱性が見つかり、広範な攻撃も発生していることを受け、現地時間1月19日に緊急指令「ED 24-01」を発行した。同国内の行政機関に対し、調査を実施して結果を報告するよう求めるとともに、利用を再開する場合の条件なども示している。
「CVE-2023-46805」「CVE-2024-21887」について、広範かつ積極的に悪用されていることを確認しており、行政機関におけるセキュリティ上の重大な脅威になるとして、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が緊急命令を発行したもの。
これまでも現地時間1月10日にIvantiよりセキュリティアドバイザリがリリースされたことを受け、CISAでは同日脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加し、対応を促してきたが、許容できないリスクをもたらしており、緊急措置が必要と判断した。
行政機関で広く活用されていることにくわえ、侵害される可能性、侵害が成功した場合の影響が大きく、Ivantiより示された緩和策の複雑さなども理由に挙げている。
具体的には、米東部時間1月22日までにIvantiからの情報をもとに緩和策を講じたり、「整合性チェッカーツール」を実行し、侵害の兆候を検出した場合は同庁へ報告するとともに、ネットワークから隔離してインシデントの調査を実施するよう求めた。パスワードや証明書、APIキーのリセットなど製品の利用を再開する場合の条件なども示している。
またアップデートの早期適用にくわえ、実施した措置や対応結果の詳細、インスタンスの完全なイベントリについて、緊急指令の発行より1週間後にテンプレートを使用して報告することを定めている。
(Security NEXT - 2024/01/22 )
ツイート
PR
関連記事
Ivantiのリモートアクセス製品に複数脆弱性 - アップデートが公開
Ivanti、「外部整合性チェックツール」の機能強化版を公開
Ivanti製品の侵害、以前のツールでは検証回避のおそれ
IvantiのVPN製品脆弱性、限定的な攻撃から多様な攻撃へと発展
Ivanti製リモートアクセス製品に再び脆弱性 - 悪用は未確認
Ivanti製品のあらたなゼロデイ脆弱性 - 米当局が3日以内の対応を要請
Ivantiがアップデートをリリース - あらたなゼロデイ脆弱性も公表
Ivanti製品、パッチ提供に遅れ - 緩和策を回避する攻撃も
Ivanti脆弱性、PoC公開で攻撃増 - 痕跡消去の可能性も踏まえ調査を
Ivanti製VPN製品のゼロデイ脆弱性、PoCが公開 - 復旧時は再発防ぐ対応を
