Ivantiのリモートアクセス製品に脆弱性 - 「クリティカル」も複数

Ivantiは、ネットワークアクセス管理製品「Ivanti Connect Secure（ICS）」、「Ivanti Policy Secure（IPS）」、「Ivanti Secure Access Client（ISAC）」に関する脆弱性について明らかにした。

現地時間11月11日にセキュリティアドバイザリを公開し、複数の脆弱性について明らかにしたもの。脆弱性によって影響を受ける製品は異なるが、CVEベースであわせて25件にのぼる。これら脆弱性が悪用された痕跡などは確認されていない。

なかでもコマンドインジェクションの脆弱性3件や、引数インジェクションの脆弱性の5件については、共通脆弱性評価システム「CVSSv3」のベーススコアがいずれも「9.1」と評価されており、重要度を「クリティカル（Critical）」とした。

また13件は重要度が2番目に高い「高（High）」とレーティングされているほか、4件は「中（Medium）」と評価されている。

同社は、これらの脆弱性を修正した「ICS 22.7R2.3」「IPS 22.7R1.2」「ISAC 22.7R4」をリリース。ユーザーにアップデートを実施するよう呼びかけている。

なお、旧バージョンの「Pulse Connect Secure 9.x」については、サポート終了が近づいており、インターネットに公開していない場合、リスクが軽減されることから今回の脆弱性については修正を実施せず、「Ivanti Connect Secure 22.7」へ更新するよう呼びかけている。

今回のアップデートで修正された脆弱性は以下のとおり。

CVE-2024-7571
CVE-2024-8495
CVE-2024-8539
CVE-2024-9420
CVE-2024-9842
CVE-2024-9843
CVE-2024-11004
CVE-2024-11005
CVE-2024-11006
CVE-2024-11007
CVE-2024-29211
CVE-2024-37398
CVE-2024-37400
CVE-2024-38649
CVE-2024-38654
CVE-2024-38655
CVE-2024-38656
CVE-2024-38657
CVE-2024-39709
CVE-2024-39710
CVE-2024-39711
CVE-2024-39712
CVE-2024-47905
CVE-2024-47906
CVE-2024-47907
CVE-2024-47908
CVE-2024-47909

（Security NEXT - 2024/11/13 ） ツイート

PR

関連記事

がん検診クーポン券に別人の住所、委託事業者のミスで - 横須賀市
個人情報流出の可能性、高負荷から事態を把握 - 楽待
Perl向け暗号ライブラリ「CryptX」に複数脆弱性
監視ソフト「IBM Tivoli Monitoring」にRCE脆弱性 - 早急に更新を
掲示板ツール「vBulletin」に深刻な脆弱性 - 実証コードや悪用も
ZohoのExchange監視ツールに深刻な脆弱性 - アップデートを
委託先で個人情報流出か、セキュリティ監査に虚偽報告 - ソフトバンク
「Wazuh」や「Windows WEBDAV」の脆弱性悪用に注意
「Firefox」に脆弱性、アップデートを公開 - 「クリティカル」との評価も
「Adobe Commerce」に緊急対応必要な脆弱性 - 「Magento」も注意