Mandiant (Google Cloud)は1月12日(米国時間)、「Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation|Mandiant」において、IvantiのVPN製品「Ivanti Connect Secure VPN」と「Ivanti Policy Secure」に存在する2つの新しいゼロデイ脆弱性が悪用されたと報じた。

  • Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation|Mandiant

    Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation|Mandiant

発見された脆弱性の概要

悪用された脆弱性は、「CVE-2023-46805」と「CVE-2024-21887」で、深刻度がそれぞれ緊急(Critical)および重要(Important)と評価されている。これら脆弱性を悪用されると認証がバイパスされ、コマンドインジェクションにより任意のコマンドを実行される可能性がある。

IvantiのVPN製品に対する攻撃の概要

Mandiantによると、2023年12月頃からスパイ活動の疑いのある脅威アクターによってこれら脆弱性が悪用されているという。この脅威アクターは現在、「UNC5221」として追跡されている。脅威アクターはこれら脆弱性の悪用により、侵害したシステムに5つのマルウェアを展開。これらにより、認証を回避してシステムへアクセスできるようにするバックドアを構築したとされる。Mandiantはこれらマルウェアを特定し、分析に成功している。

開発元のIvantiは、Mandiant、被害を受けた顧客、政府機関、Volexityと協力してこの件に対処。調査報告と今後の予定を公開した(参考:「CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways」)。

公開された情報によると、これら脆弱性の影響を受ける製品およびバージョンは次のとおり。

  • Ivanti Connect Secure VPNバージョン9.xおよび22.x
  • Ivanti Policy Secure

これら脆弱性の悪用を発見・報告したサイバーセキュリティ企業のVolexityは、この件に関する攻撃の詳細とセキュリティ侵害インジケータ(IoC: Indicator of Compromise)およびYaraルールを公開している(Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN | Volexity)。Volexityはこの攻撃を実施した脅威アクターについて、中国の国家支援を受ける「UTA0178」の可能性があると指摘している。

対策

Ivantiは機器の侵害を確認するツールを公開しているほか、この影響を回避するための緩和策を提供しており、当該製品を利用している顧客に対して直ちに対策を講じることを推奨している(参考:「KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways」)。また、修正パッチは1月22日以降に暫定版を、2月19日以降に最終版をリリースする予定としている。

国内でも悪用を確認

IPAは、対象の脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があるとして、対策を検討するよう、注意を喚起している(参考:Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等))。