-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2024-0002
                                                             JPCERT/CC
                                                     2024-01-11（公開）
                                                     2024-02-29（更新）

                <<< JPCERT/CC Alert 2024-01-11 >>>

Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起

            https://www.jpcert.or.jp/at/2024/at240002.html


I. 概要
2024年1月10日（現地時間）、IvantiはIvanti Connect Secure（旧: Pulse
Connect Secure）およびIvanti Policy Secureゲートウェイにおける脆弱性に
関するアドバイザリを公開しました。認証バイパスの脆弱性（CVE-2023-46805）
とコマンドインジェクションの脆弱性（CVE-2024-21887）が対象で、脆弱性が
組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実
行する可能性があります。

Ivantiは本脆弱性を悪用する攻撃を確認しており、JPCERT/CCは本脆弱性を悪
用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認
しています。また、1月16日に本脆弱性を実証するコード（Proof-of-Concept）
が公開されて以降、本脆弱性を悪用するさまざまな攻撃が発生しています。本
脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記
載の情報およびIvantiが提供する最新の情報を確認の上、回避策の適用や侵
害有無を確認する調査などを推奨します。

    Ivanti
    CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command  Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
    https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

    Ivanti
    KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command  Injection) for Ivanti Connect Secure and  Ivanti Policy Secure Gateways
    https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

** 更新: 2024年2月29日追記 ********************************************
2024年1月から2月までに公開された同製品などにおける深刻度の高い脆弱性に
ついて、CyberNewsFlashにも関連する情報をまとめています。

    JPCERT/CC
    2024年1月以降のIvanti Connect Secureなどの脆弱性の状況について
    https://www.jpcert.or.jp/newsflash/2024021601.html
***********************************************************************


II. 対象
本脆弱性の対象となる製品は次のとおりです。

  - Ivanti Connect Secure
  - Ivanti Policy Secure

サポート対象の22系や9系のバージョンが影響を受けるとのことです。すでに
サポートが終了しているバージョンにおける影響は評価されておらず、Ivanti
はサポート対象のバージョンへの移行を推奨しています。サポート対象バージョン
の最新の状況はIvantiの次の情報をご確認ください。

    Ivanti
    Granular Software Release EOL Timelines and Support Matrix
    https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix


III. 対策
Ivantiが提供する最新の情報を確認の上、最新のパッチの適用や回避策の適用
を検討してください。

2024年1月31日（現地時間）、Ivantiは権限昇格の脆弱性（CVE-2024-21888）お
よびSSRFの脆弱性（CVE-2024-21893）を含め、本脆弱性を修正するパッチを公
開しました。その後、2024年2月8日（現地時間）、Ivantiは同製品におけるXML
外部実体参照（XXE）の脆弱性（CVE-2024-22024）に関するアドバイザリを公開
しました。1月31日に公開された修正パッチを適用したバージョンが影響を受け
ますが、1月31日に公開された回避策を適用している場合は脆弱性の影響を受け
ないとのことです。

    Ivanti
    CVE-2024-21888 Privilege Escalation for Ivanti Connect Secure and Ivanti Policy Secure
    https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure

    Ivanti
    CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure
    https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure


IV. 回避策
2024年1月10日（現地時間）、本脆弱性の影響を緩和する回避策として、XMLファ
イルをインポートする方法をIvantiが案内しています。ファイルや適用方法に
関する情報は顧客向けのポータルで提供されています。

2024年1月31日（現地時間）、Ivantiは権限昇格の脆弱性（CVE-2024-21888）お
よびSSRFの脆弱性（CVE-2024-21893）の影響を緩和する新たな回避策となるxml
ファイルを公開しています。Ivantiが提供する最新の情報をご確認の上、すぐ
に対策を適用できない場合は影響を緩和するため、回避策の適用をご検討くだ
さい。


V. 侵害検出方法
脆弱性を悪用されて機器が侵害された可能性を調べる方法や、侵害が疑われる
場合の対処および復旧方法については、Ivantiが提供するアドバイザリなどの
最新の情報をご確認ください。

2024年1月16日（現地時間）、Ivantiは本脆弱性を悪用する攻撃の被害を受けた
場合の復旧手順に関する情報を公開しました。侵害を検出する方法、侵害が疑
われる場合の対応方法、復旧方法などに関する情報がまとめられています。
Ivantiが提供する最新の情報をご確認の上、調査や対応を行ってください。

    Ivanti
    Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887
    https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887

本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェッ
クツール（Integrity Checker Tool）の実行が推奨されています。Ivantiが提
供するツールをダウンロードし実行する外部チェック（external ICT）は機器
の再起動を伴います。機器に搭載される内部チェック（In-Build ICT）が利用
できる場合はそちらの利用をまずご検討ください。

Ivantiは内部チェック（In-Build ICT）の出力結果を改ざんする攻撃を一部確
認しており、内部チェックだけでなく外部チェックも実行することを推奨して
います。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最
新の情報をご確認ください。

    Ivanti
    KB44859 - How to Use the In-Build Integrity Check Tool
    https://forums.ivanti.com/s/article/KB44859

    Ivanti
    KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
    https://forums.ivanti.com/s/article/KB44755

** 更新: 2024年2月29日追記 ********************************************
2024年2月27日（現地時間）、Ivantiは拡張版の外部チェック（enhanced
external ICT）ツールを公開しました。拡張版では、検出したファイルのス
ナップショットを復号化された状態で取得可能とのことです。
詳細や最新の情報はIvantiのKBページなどをご参照ください。

    Ivanti
    KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command  Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
    https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
***********************************************************************

なお、痕跡の削除のために製品上のログが削除されているケースも確認されて
います。調査時には製品上のログや痕跡が削除されている可能性にも留意いた
だき、後述の「VI. 関連情報」にも掲載されている既知の攻撃の痕跡などの情
報も元に周辺機器のログも調査をいただくことを推奨します。

また、本脆弱性を悪用する攻撃者による侵害が疑われ、同製品から構成および
設定情報、資格情報などが窃取された可能性がある場合は、更なる対応や調査
を行うことが推奨されます。影響を受けた可能性がある資格情報の変更などの
対応に加え、窃取された資格情報を用いてVPNやRDPの認証を試みる第三者の不
正なログインがないかなどを監視および確認いただくことも推奨します。


VI. 関連情報
<<（1）2023年12月頃の攻撃に関する情報 >>  
2024年1月10日（現地時間）、Volexityは本脆弱性を悪用する攻撃に関する記事
を公開しました。2023年12月に同社の顧客のネットワーク上で不審な活動を検出
し、調査の結果、本脆弱性が侵入のために悪用された可能性があることを発見し
たとのことです。記事では攻撃で観測されたwebshellなどのファイルの特徴や
侵入後の活動内容、攻撃で使われた通信先情報が公開されています。侵害
調査の参考となる情報が掲載されていますので、ご参照ください。

    Volexity
    Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN
    https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

2024年1月12日（現地時間）、Mandiantは本脆弱性を悪用する攻撃に関する分析
記事で、攻撃で使われた通信先やマルウェアに関する情報を公開しました。
2023年12月から観測されている攻撃で侵入後に行われた活動や、攻撃で使われ
たマルウェアの機能や特徴などの情報が掲載されています。

    Mandiant
    Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation
    https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

<<（2）2024年1月11日頃のwebshell設置攻撃に関する情報 >>  
2024年1月15日（現地時間）、Volexityは本脆弱性を悪用する攻撃に関する追
加のブログを公開し、webshellを設置する攻撃活動が1月11日に世界中の広範
囲に行われていることを確認したと明らかにしました。JPCERT/CCは本脆弱性を
悪用した攻撃の被害を受けた可能性がある国内のホストの管理者へ情報提供を
行っています。

    Volexity
    Ivanti Connect Secure VPN Exploitation Goes Global
    https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/

<<（3）2024年1月16日前後以降の様々な攻撃に関する情報 >>  
2024年1月16日、本脆弱性を実証するコード（Proof-of-Concept）が公開されて
以降、本脆弱性を悪用する下記のような様々な攻撃が行われていることを示す
情報が複数公開されています。16日までに本脆弱性の影響を緩和する回避策を
適用できていない場合、速やかに回避策の適用や調査を行ってください。

  - ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃
  - 構成情報や設定情報の窃取を試みる攻撃
  - マルウェアをダウンロードし実行する攻撃
  - 同製品から窃取した情報を用いて内部に侵入を試みる攻撃

    Censys
    The Mass Exploitation of Ivanti Connect Secure
    https://censys.com/the-mass-exploitation-of-ivanti-connect-secure/

    Darktrace
    The Unknown Unknowns: Post-Exploitation Activities of Ivanti CS/PS Appliances
    https://www.darktrace.com/blog/the-unknown-unknowns-post-exploitation-activities-of-ivanti-cs-ps-appliances

<<（4）SSRFの脆弱性（CVE-2024-21893）を悪用する攻撃に関する情報 >>  
2024年1月31日（現地時間）、Mandiantは権限昇格の脆弱性（CVE-2024-21888）
およびSSRFの脆弱性（CVE-2024-21893）などを悪用する攻撃に関するブログを
公開しました。認証バイパスの脆弱性（CVE-2023-46805）とコマンドインジェ
クションの脆弱性（CVE-2024-21887）向けの既知の緩和策を回避する限定的な
攻撃などを確認したとし、観測した攻撃や改ざんされたファイルの内容などを
解説しています。

    Mandiant
    Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation
    https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation


VII. 国内被害状況
JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われ
た可能性があることを確認しています。これまでに確認した攻撃の時期や通信
先などの情報を下記に記載します。調査時などの参考にしてください。

    攻撃を受けた日付：2024年1月11日
    不審な通信元（通信先ともなる）：89[.]233[.]109[.]77


VIII. 参考情報
    Ivanti
    KB43892 - What releases will Pulse Secure apply fixes to resolve security vulnerabilities?
    https://forums.ivanti.com/s/article/KB43892


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2024-01-11 公開
2024-01-15 「I. 概要」「VI. 関連情報」を更新、「VII. 国内被害状況」に追記
2024-01-17 「V. 侵害検出方法」「VI. 関連情報」を更新
2024-01-31 「I. 概要」「V. 侵害検出方法」「VI. 関連情報」を更新
2024-02-01 「I. 概要」「III. 対策」「IV. 回避策」「VI. 関連情報」を更新
2024-02-09 「I. 概要」を更新
2024-02-14 「I. 概要」を更新、「III. 対策」「IV. 回避策」の記載を見直し
2024-02-29 「I. 概要」「V. 侵害検出方法」を更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=Fg3g
-----END PGP SIGNATURE-----