Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米政府、IvantiのVPN製品脆弱性を受けて緊急指令

米政府は、「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure Gateway」に深刻な脆弱性が見つかり、広範な攻撃も発生していることを受け、現地時間1月19日に緊急指令「ED 24-01」を発行した。同国内の行政機関に対し、調査を実施して結果を報告するよう求めるとともに、利用を再開する場合の条件なども示している。

「CVE-2023-46805」「CVE-2024-21887」について、広範かつ積極的に悪用されていることを確認しており、行政機関におけるセキュリティ上の重大な脅威になるとして、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が緊急命令を発行したもの。

これまでも現地時間1月10日にIvantiよりセキュリティアドバイザリがリリースされたことを受け、CISAでは同日脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加し、対応を促してきたが、許容できないリスクをもたらしており、緊急措置が必要と判断した。

行政機関で広く活用されていることにくわえ、侵害される可能性、侵害が成功した場合の影響が大きく、Ivantiより示された緩和策の複雑さなども理由に挙げている。

具体的には、米東部時間1月22日までにIvantiからの情報をもとに緩和策を講じたり、「整合性チェッカーツール」を実行し、侵害の兆候を検出した場合は同庁へ報告するとともに、ネットワークから隔離してインシデントの調査を実施するよう求めた。パスワードや証明書、APIキーのリセットなど製品の利用を再開する場合の条件なども示している。

またアップデートの早期適用にくわえ、実施した措置や対応結果の詳細、インスタンスの完全なイベントリについて、緊急指令の発行より1週間後にテンプレートを使用して報告することを定めている。

(Security NEXT - 2024/01/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

IvantiのVPN製品脆弱性、限定的な攻撃から多様な攻撃へと発展
Ivanti製リモートアクセス製品に再び脆弱性 - 悪用は未確認
Ivanti製品のあらたなゼロデイ脆弱性 - 米当局が3日以内の対応を要請
Ivantiがアップデートをリリース - あらたなゼロデイ脆弱性も公表
Ivanti製品、パッチ提供に遅れ - 緩和策を回避する攻撃も
Ivanti脆弱性、PoC公開で攻撃増 - 痕跡消去の可能性も踏まえ調査を
Ivanti製VPN製品のゼロデイ脆弱性、PoCが公開 - 復旧時は再発防ぐ対応を
Ivanti製VPNに対する脆弱性攻撃の被害が拡大 - 少なくとも1700件の侵害
Ivanti製品のゼロデイ脆弱性、JPCERT/CCが注意喚起
IvantiのVPN製品にゼロデイ脆弱性 - パッチ準備中、緩和策の実施を