Ivanti製品のあらたなゼロデイ脆弱性 - 米当局が3日以内の対応を要請
「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure」にあらたなゼロデイ脆弱性「CVE-2024-21893」が判明したことを受け、米当局は現地時間1月31日、米行政機関に対して3日以内に対策を講じるよう要請した。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が現地時間1月31日に「CVE-2024-21893」を「悪用が確認された脆弱性カタログ(KEV)」へ追加したもの。
両製品に関しては、2024年1月に入り「CVE-2023-46805」「CVE-2024-21887」が同カタログへ追加されている。米国内の行政機関では現地時間1月22日までに緩和策など講じることが必須とされたほか、1月19日には緊急指令「ED 24-01」が発行されている。
Ivantiでは、現地時間1月31日に脆弱性を修正するパッチを一部バージョンに向けてリリースしたが、同社は同時にあらたな脆弱性「CVE-2024-21888」「CVE-2024-21893」を公表。あわせて修正したことを明らかにした。
なかでも「SAMLコンポーネント」に判明したサーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2024-21893」について、Ivantiは限定的としながらもすでに悪用が確認されている。こうした状況を受け、CISAでは「KEV」へ「CVE-2024-21893」を追加するとともに、対応期限を現地時間2月2日と定め、米行政機関へ対応を促した。
Ivantiでは、修正パッチにくわえて未提供のバージョンに対し、緩和策を用意している。脆弱性が公表されたことから、今後さらに悪用が広がることも懸念されており、行政機関に限らず、「CVE-2024-21893」についても悪用へ警戒する必要がある。
(Security NEXT - 2024/02/01 )
ツイート
関連リンク
PR
関連記事
シャープ製複数ルータに認証欠如の脆弱性 - 初期PW推測のおそれ
「macOS Tahoe 26.4」を提供開始 - 脆弱性77件に対処
ウェブサーバ「NGINX」に定例外アドバイザリ - 複数脆弱性を修正
「Node.js」にDoSなど複数脆弱性 - アップデートが公開
「Langflow」の公開フローAPIに深刻なRCE脆弱性 - 悪用も確認
「BIND 9」に複数の脆弱性 - アップデートが公開
中学校で採点済み答案用紙のURLをメールで誤送信 - 小平市
ランサム被害の調査を継続、受注や発送は再開 - メディカ出版
「iOS 26.4」公開、脆弱性38件を修正 - 旧端末向け「iOS 18.7.7」も
旧化粧品ブランドサイトのドメイン名を第三者が取得 - ロート製薬
