米当局、Ivanti VPN製品のゼロデイ脆弱性で注意喚起 - 侵害なくとも初期化を

Ivantiでは、整合性をチェックし、機器の侵害状況を確認できる「Integrity Checker Tool（ICT）」を提供しており、活用するよう呼びかけている。

CISAでは、影響を受けたIvantiデバイスや最近これらに接続されたシステムにおいて脅威ハンティングを実施し、侵害が確認された場合は、CISAとIvantiに報告した上で、フォレンジック調査やインシデント対応活動を進めるよう求めた。

影響を受ける「Ivanti Connect Secure」を隔離し、関連する証明書、APIなどで利用するキー、管理者や認証サーバ構成で使用されるサービスアカウントを含め、ゲートウェイで定義されている全ローカルユーザーのパスワードについて利用を中止し、再発行する必要がある。

さらに影響を受ける製品に関連付けられたドメインアカウントが侵害された場合は、オンプレミスアカウントのパスワードを2回リセットし、Kerberosチケットを取り消してから、ハイブリッド展開のクラウドアカウントのトークンを取り消すなど具体的な対策を挙げている。

また脅威ハンティングで侵害がないと判断した場合も、機器を工場出荷時の状態にリセットした上で最新パッチを適用するよう求めた。あわせて認証やID管理サービスにおけるモニタリングや特権レベルのアカウントについての監査を継続するよう求めている。

（Security NEXT - 2025/01/09 ）ツイート