JPCERT-AT-2024-0002
JPCERT/CC
2024-01-11(公開)
2024-02-29(更新)
Ivantiは本脆弱性を悪用する攻撃を確認しており、JPCERT/CCは本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。また、1月16日に本脆弱性を実証するコード(Proof-of-Concept)が公開されて以降、本脆弱性を悪用するさまざまな攻撃が発生しています。本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報およびIvantiが提供する最新の情報を確認の上、回避策の適用や侵害有無を確認する調査などを推奨します。
Ivanti
CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
Ivanti
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
- Ivanti Connect Secure
- Ivanti Policy Secure
サポート対象の22系や9系のバージョンが影響を受けるとのことです。すでにサポートが終了しているバージョンにおける影響は評価されておらず、Ivantiはサポート対象のバージョンへの移行を推奨しています。サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。
Ivanti
Granular Software Release EOL Timelines and Support Matrix
https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix
2024年1月31日(現地時間)、Ivantiは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)を含め、本脆弱性を修正するパッチを公開しました。その後、2024年2月8日(現地時間)、Ivantiは同製品におけるXML外部実体参照(XXE)の脆弱性(CVE-2024-22024)に関するアドバイザリを公開しました。1月31日に公開された修正パッチを適用したバージョンが影響を受けますが、1月31日に公開された回避策を適用している場合は脆弱性の影響を受けないとのことです。
Ivanti
CVE-2024-21888 Privilege Escalation for Ivanti Connect Secure and Ivanti Policy Secure
https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure
Ivanti
CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure
https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure
2024年1月31日(現地時間)、Ivantiは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)の影響を緩和する新たな回避策となるxmlファイルを公開しています。Ivantiが提供する最新の情報をご確認の上、すぐに対策を適用できない場合は影響を緩和するため、回避策の適用をご検討ください。
2024年1月16日(現地時間)、Ivantiは本脆弱性を悪用する攻撃の被害を受けた場合の復旧手順に関する情報を公開しました。侵害を検出する方法、侵害が疑われる場合の対応方法、復旧方法などに関する情報がまとめられています。Ivantiが提供する最新の情報をご確認の上、調査や対応を行ってください。
Ivanti
Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887
https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887
本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)は機器の再起動を伴います。機器に搭載される内部チェック(In-Build ICT)が利用できる場合はそちらの利用をまずご検討ください。
Ivantiは内部チェック(In-Build ICT)の出力結果を改ざんする攻撃を一部確認しており、内部チェックだけでなく外部チェックも実行することを推奨しています。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最新の情報をご確認ください。
Ivanti
KB44859 - How to Use the In-Build Integrity Check Tool
https://forums.ivanti.com/s/article/KB44859
Ivanti
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755
なお、痕跡の削除のために製品上のログが削除されているケースも確認されています。調査時には製品上のログや痕跡が削除されている可能性にも留意いただき、後述の「VI. 関連情報」にも掲載されている既知の攻撃の痕跡などの情報も元に周辺機器のログも調査をいただくことを推奨します。
また、本脆弱性を悪用する攻撃者による侵害が疑われ、同製品から構成および設定情報、資格情報などが窃取された可能性がある場合は、更なる対応や調査を行うことが推奨されます。影響を受けた可能性がある資格情報の変更などの対応に加え、窃取された資格情報を用いてVPNやRDPの認証を試みる第三者の不正なログインがないかなどを監視および確認いただくことも推奨します。
2024年1月10日(現地時間)、Volexityは本脆弱性を悪用する攻撃に関する記事を公開しました。2023年12月に同社の顧客のネットワーク上で不審な活動を検出し、調査の結果、本脆弱性が侵入のために悪用された可能性があることを発見したとのことです。記事では攻撃で観測されたwebshellなどのファイルの特徴や侵入後の活動内容、攻撃で使われた通信先情報が公開されています。侵害調査の参考となる情報が掲載されていますので、ご参照ください。
Volexity
Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
2024年1月12日(現地時間)、Mandiantは本脆弱性を悪用する攻撃に関する分析記事で、攻撃で使われた通信先やマルウェアに関する情報を公開しました。2023年12月から観測されている攻撃で侵入後に行われた活動や、攻撃で使われたマルウェアの機能や特徴などの情報が掲載されています。
Mandiant
Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
<<(2)2024年1月11日頃のwebshell設置攻撃に関する情報 >>
2024年1月15日(現地時間)、Volexityは本脆弱性を悪用する攻撃に関する追加のブログを公開し、webshellを設置する攻撃活動が1月11日に世界中の広範囲に行われていることを確認したと明らかにしました。JPCERT/CCは本脆弱性を悪用した攻撃の被害を受けた可能性がある国内のホストの管理者へ情報提供を行っています。
Volexity
Ivanti Connect Secure VPN Exploitation Goes Global
https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/
<<(3)2024年1月16日前後以降の様々な攻撃に関する情報 >>
2024年1月16日、本脆弱性を実証するコード(Proof-of-Concept)が公開されて以降、本脆弱性を悪用する下記のような様々な攻撃が行われていることを示す情報が複数公開されています。16日までに本脆弱性の影響を緩和する回避策を適用できていない場合、速やかに回避策の適用や調査を行ってください。
- ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃
- 構成情報や設定情報の窃取を試みる攻撃
- マルウェアをダウンロードし実行する攻撃
- 同製品から窃取した情報を用いて内部に侵入を試みる攻撃
Censys
The Mass Exploitation of Ivanti Connect Secure
https://censys.com/the-mass-exploitation-of-ivanti-connect-secure/
Darktrace
The Unknown Unknowns: Post-Exploitation Activities of Ivanti CS/PS Appliances
https://www.darktrace.com/blog/the-unknown-unknowns-post-exploitation-activities-of-ivanti-cs-ps-appliances
<<(4)SSRFの脆弱性(CVE-2024-21893)を悪用する攻撃に関する情報 >>
2024年1月31日(現地時間)、Mandiantは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)などを悪用する攻撃に関するブログを公開しました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)向けの既知の緩和策を回避する限定的な攻撃などを確認したとし、観測した攻撃や改ざんされたファイルの内容などを解説しています。
Mandiant
Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation
https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation
攻撃を受けた日付:2024年1月11日
不審な通信元(通信先ともなる):89[.]233[.]109[.]77
Ivanti
KB43892 - What releases will Pulse Secure apply fixes to resolve security vulnerabilities?
https://forums.ivanti.com/s/article/KB43892
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2024-01-15 「I. 概要」「VI. 関連情報」を更新、「VII. 国内被害状況」に追記
2024-01-17 「V. 侵害検出方法」「VI. 関連情報」を更新
2024-01-31 「I. 概要」「V. 侵害検出方法」「VI. 関連情報」を更新
2024-02-01 「I. 概要」「III. 対策」「IV. 回避策」「VI. 関連情報」を更新
2024-02-09 「I. 概要」を更新
2024-02-14 「I. 概要」を更新、「III. 対策」「IV. 回避策」の記載を見直し
2024-02-29 「I. 概要」「V. 侵害検出方法」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2024-01-11(公開)
2024-02-29(更新)
I. 概要
2024年1月10日(現地時間)、IvantiはIvanti Connect Secure(旧: Pulse Connect Secure)およびIvanti Policy Secureゲートウェイにおける脆弱性に関するアドバイザリを公開しました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)が対象で、脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行する可能性があります。Ivantiは本脆弱性を悪用する攻撃を確認しており、JPCERT/CCは本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。また、1月16日に本脆弱性を実証するコード(Proof-of-Concept)が公開されて以降、本脆弱性を悪用するさまざまな攻撃が発生しています。本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報およびIvantiが提供する最新の情報を確認の上、回避策の適用や侵害有無を確認する調査などを推奨します。
Ivanti
CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
Ivanti
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
更新: 2024年2月29日追記
2024年1月から2月までに公開された同製品などにおける深刻度の高い脆弱性について、CyberNewsFlashにも関連する情報をまとめています。
JPCERT/CC
2024年1月以降のIvanti Connect Secureなどの脆弱性の状況について
https://www.jpcert.or.jp/newsflash/2024021601.html
JPCERT/CC
2024年1月以降のIvanti Connect Secureなどの脆弱性の状況について
https://www.jpcert.or.jp/newsflash/2024021601.html
II. 対象
本脆弱性の対象となる製品は次のとおりです。- Ivanti Connect Secure
- Ivanti Policy Secure
サポート対象の22系や9系のバージョンが影響を受けるとのことです。すでにサポートが終了しているバージョンにおける影響は評価されておらず、Ivantiはサポート対象のバージョンへの移行を推奨しています。サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。
Ivanti
Granular Software Release EOL Timelines and Support Matrix
https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix
III. 対策
Ivantiが提供する最新の情報を確認の上、最新のパッチの適用や回避策の適用を検討してください。2024年1月31日(現地時間)、Ivantiは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)を含め、本脆弱性を修正するパッチを公開しました。その後、2024年2月8日(現地時間)、Ivantiは同製品におけるXML外部実体参照(XXE)の脆弱性(CVE-2024-22024)に関するアドバイザリを公開しました。1月31日に公開された修正パッチを適用したバージョンが影響を受けますが、1月31日に公開された回避策を適用している場合は脆弱性の影響を受けないとのことです。
Ivanti
CVE-2024-21888 Privilege Escalation for Ivanti Connect Secure and Ivanti Policy Secure
https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure
Ivanti
CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure
https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure
IV. 回避策
2024年1月10日(現地時間)、本脆弱性の影響を緩和する回避策として、XMLファイルをインポートする方法をIvantiが案内しています。ファイルや適用方法に関する情報は顧客向けのポータルで提供されています。2024年1月31日(現地時間)、Ivantiは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)の影響を緩和する新たな回避策となるxmlファイルを公開しています。Ivantiが提供する最新の情報をご確認の上、すぐに対策を適用できない場合は影響を緩和するため、回避策の適用をご検討ください。
V. 侵害検出方法
脆弱性を悪用されて機器が侵害された可能性を調べる方法や、侵害が疑われる場合の対処および復旧方法については、Ivantiが提供するアドバイザリなどの最新の情報をご確認ください。2024年1月16日(現地時間)、Ivantiは本脆弱性を悪用する攻撃の被害を受けた場合の復旧手順に関する情報を公開しました。侵害を検出する方法、侵害が疑われる場合の対応方法、復旧方法などに関する情報がまとめられています。Ivantiが提供する最新の情報をご確認の上、調査や対応を行ってください。
Ivanti
Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887
https://forums.ivanti.com/s/article/Recovery-Steps-Related-to-CVE-2023-46805-and-CVE-2024-21887
本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)は機器の再起動を伴います。機器に搭載される内部チェック(In-Build ICT)が利用できる場合はそちらの利用をまずご検討ください。
Ivantiは内部チェック(In-Build ICT)の出力結果を改ざんする攻撃を一部確認しており、内部チェックだけでなく外部チェックも実行することを推奨しています。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最新の情報をご確認ください。
Ivanti
KB44859 - How to Use the In-Build Integrity Check Tool
https://forums.ivanti.com/s/article/KB44859
Ivanti
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755
更新: 2024年2月29日追記
2024年2月27日(現地時間)、Ivantiは拡張版の外部チェック(enhanced external ICT)ツールを公開しました。拡張版では、検出したファイルのスナップショットを復号化された状態で取得可能とのことです。詳細や最新の情報はIvantiのKBページなどをご参照ください。
Ivanti
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
Ivanti
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways
なお、痕跡の削除のために製品上のログが削除されているケースも確認されています。調査時には製品上のログや痕跡が削除されている可能性にも留意いただき、後述の「VI. 関連情報」にも掲載されている既知の攻撃の痕跡などの情報も元に周辺機器のログも調査をいただくことを推奨します。
また、本脆弱性を悪用する攻撃者による侵害が疑われ、同製品から構成および設定情報、資格情報などが窃取された可能性がある場合は、更なる対応や調査を行うことが推奨されます。影響を受けた可能性がある資格情報の変更などの対応に加え、窃取された資格情報を用いてVPNやRDPの認証を試みる第三者の不正なログインがないかなどを監視および確認いただくことも推奨します。
VI. 関連情報
<<(1)2023年12月頃の攻撃に関する情報 >>2024年1月10日(現地時間)、Volexityは本脆弱性を悪用する攻撃に関する記事を公開しました。2023年12月に同社の顧客のネットワーク上で不審な活動を検出し、調査の結果、本脆弱性が侵入のために悪用された可能性があることを発見したとのことです。記事では攻撃で観測されたwebshellなどのファイルの特徴や侵入後の活動内容、攻撃で使われた通信先情報が公開されています。侵害調査の参考となる情報が掲載されていますので、ご参照ください。
Volexity
Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/
2024年1月12日(現地時間)、Mandiantは本脆弱性を悪用する攻撃に関する分析記事で、攻撃で使われた通信先やマルウェアに関する情報を公開しました。2023年12月から観測されている攻撃で侵入後に行われた活動や、攻撃で使われたマルウェアの機能や特徴などの情報が掲載されています。
Mandiant
Cutting Edge: Suspected APT Targets Ivanti Connect Secure VPN in New Zero-Day Exploitation
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
<<(2)2024年1月11日頃のwebshell設置攻撃に関する情報 >>
2024年1月15日(現地時間)、Volexityは本脆弱性を悪用する攻撃に関する追加のブログを公開し、webshellを設置する攻撃活動が1月11日に世界中の広範囲に行われていることを確認したと明らかにしました。JPCERT/CCは本脆弱性を悪用した攻撃の被害を受けた可能性がある国内のホストの管理者へ情報提供を行っています。
Volexity
Ivanti Connect Secure VPN Exploitation Goes Global
https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/
<<(3)2024年1月16日前後以降の様々な攻撃に関する情報 >>
2024年1月16日、本脆弱性を実証するコード(Proof-of-Concept)が公開されて以降、本脆弱性を悪用する下記のような様々な攻撃が行われていることを示す情報が複数公開されています。16日までに本脆弱性の影響を緩和する回避策を適用できていない場合、速やかに回避策の適用や調査を行ってください。
- ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃
- 構成情報や設定情報の窃取を試みる攻撃
- マルウェアをダウンロードし実行する攻撃
- 同製品から窃取した情報を用いて内部に侵入を試みる攻撃
Censys
The Mass Exploitation of Ivanti Connect Secure
https://censys.com/the-mass-exploitation-of-ivanti-connect-secure/
Darktrace
The Unknown Unknowns: Post-Exploitation Activities of Ivanti CS/PS Appliances
https://www.darktrace.com/blog/the-unknown-unknowns-post-exploitation-activities-of-ivanti-cs-ps-appliances
<<(4)SSRFの脆弱性(CVE-2024-21893)を悪用する攻撃に関する情報 >>
2024年1月31日(現地時間)、Mandiantは権限昇格の脆弱性(CVE-2024-21888)およびSSRFの脆弱性(CVE-2024-21893)などを悪用する攻撃に関するブログを公開しました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)向けの既知の緩和策を回避する限定的な攻撃などを確認したとし、観測した攻撃や改ざんされたファイルの内容などを解説しています。
Mandiant
Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation
https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation
VII. 国内被害状況
JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われた可能性があることを確認しています。これまでに確認した攻撃の時期や通信先などの情報を下記に記載します。調査時などの参考にしてください。攻撃を受けた日付:2024年1月11日
不審な通信元(通信先ともなる):89[.]233[.]109[.]77
VIII. 参考情報
Ivanti
KB43892 - What releases will Pulse Secure apply fixes to resolve security vulnerabilities?
https://forums.ivanti.com/s/article/KB43892
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2024-01-11 公開2024-01-15 「I. 概要」「VI. 関連情報」を更新、「VII. 国内被害状況」に追記
2024-01-17 「V. 侵害検出方法」「VI. 関連情報」を更新
2024-01-31 「I. 概要」「V. 侵害検出方法」「VI. 関連情報」を更新
2024-02-01 「I. 概要」「III. 対策」「IV. 回避策」「VI. 関連情報」を更新
2024-02-09 「I. 概要」を更新
2024-02-14 「I. 概要」を更新、「III. 対策」「IV. 回避策」の記載を見直し
2024-02-29 「I. 概要」「V. 侵害検出方法」を更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp