2024年1月10日、Ivantiは同社のリモートアクセスVPN製品「Ivanti Connect Secure」とネットアクセス制御製品「Ivanti Policy Secure」において、2件の脆弱性(CVE-2023-46805およびCVE-2024-21887)が確認され、これらを組み合わせた攻撃が既に発生しているとしてセキュリティ情報を公開しました。2つの脆弱性の修正版は1月22日週より順次公開の予定であり、それまでの間Ivantiは回避策の適用を呼び掛けています。セキュリティ会社のVolexityは、2024年1月15日に世界規模での悪用が確認されているとして、回避策の適用だけでなく、侵害兆候の確認も併せて行うよう利用者への対応を推奨しています。ここでは関連する情報をまとめます。
1.脆弱性概要
悪用が確認された脆弱性は次の2件。これら2つを組み合わせることでリモートから当該製品に対し、認証の必要なく任意のコマンド実行を行うことが可能となる。
| CVE | CVSS v3(基本値) | 脆弱性の概要 |
|---|---|---|
| CVE-2023-46805 | 8.2 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
認証バイパスの脆弱性(CWE-287) Webコンポーネントに対し、攻撃者により認証制御のチェックを回避し、リモートから制限されたリソースにアクセスされる恐れ。 |
| CVE-2024-21887 | 9.1 AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
コマンドインジェクションの脆弱性(CWE-77) Webコンポーネントに対し、認証された管理権限を持つアカウントにより特別に細工したリクエスト送信によってリモートから任意のコマンド実行をされる恐れ。 |
- 脆弱性の詳細については、Rapid7がIvanti Connect Secure 22.3R1(build 1647)に対して行った調査結果を公表している。またAssetnoteもIvanti Connect Secure 9.1R11.4において調査した結果を公表している。
- 同社は製品の特定のREST APIサービス(
/api/v1/totp/user-backup-code)において、パスに対し認証チェックが行われていないことを発見し、「../../」を使用して任意のリソースにアクセスできる認証バイパスの脆弱性(CVE-2023-46805とみられる)を確認。さらに認証を要するコマンドインジェクションの方法2件も特定し、どちらもCVE-2024-21887の可能性があると説明。 - これら2つの脆弱性を組み合わせた単一のリクエスト方法の検証を行い、コマンド実行が行われることを確認。さらにIvantiが回避策として提供するXMLをインポートすることで確認した攻撃手段が機能しないことも併せて確認した。
2.影響対象
- 影響を受ける製品は次の2製品。いずれも2020年にIvantiに買収されたPulse Secure社が提供を行っていたもの。
- Ivanti Connect Secure(旧Pulse Connect Secure)
- Ivanti Policy Secure (旧 Pulse Policy Secure)
- 2024年1月10日時点でIvantiがサポートを行っている全てのバージョンが影響を受ける。なお、サポート期限を迎えているバージョンについては、Ivantiは影響有無の評価を行っておらず、サポート対象バージョンへのアップグレードを強く推奨している。加えて回避策についても機能するかの評価は行われていない。
- Paloaltoは、Ivantiの該当製品が世界中の4万社以上で利用されているとして、2024年1月9日時点で141か国 30,089台の外部から接続可能なIvanti Connect Secureを確認したと報告。
- Shadow ServerはIvantiが推奨する回避策を適用していないとみられるホストが1月15日時点で6,809台存在していると報告。日本国内のものも多く、該当機器は957台としている。
- Assetnoteは、同社が入手した最も古いバージョンである9.1R11.4において脆弱性の影響を受けることを確認したと報告している。
回避策
- 修正バージョンは1月16日時点で準備中のため、公開されるまでの間は回避策の適用および侵害兆候の確認により脆弱性悪用によるリスク低減を行う必要がある。
- Ivantiは回避策として、同社が悪用による影響を軽減させるために準備したXMLのインポートを推奨している。XMLインポート後は、脆弱性悪用および現在把握されているWeb Shellのブロックを行う。XMLのインポートは再起動不要だが、合わせて兆候確認手段として推奨されているICTの実行時には再起動が自動的に実行される。
- XMLによる回避策適用に際して、ライセンスサーバーへの導入は非推奨としており、VLANやIP制限によるサーバー接続可能ユーザーの制限による対応をアナウンスしている。
- XML適用後のデバイスはいくつかの機能に対して影響または機能低下が生じる。利用状況次第で影響を受けないケースもあるため、詳細はKB参照のこと。
| 対象製品 | 回避策適用により影響が生じる機能等 |
|---|---|
| Ivanti Connect Secure | ・Admin REST APIs ・End User Portal (Advanced HTML5) ・End user JSAM ・Rewriter ・Citrix StoreFront with HTML5 ・Auto-Launch of PSAL install ・Admin CRL Configuration |
| Ivanti Policy Secure | ・Profiler and Remote Profiler(大幅に性能低下、IPSへの認証は継続) ・UEBA adaptive authentication(使用不可) |
侵害兆候の確認方法
〇整合性チェックツールの実行
- Ivantiは整合性チェックツール(ICT)の実行を推奨。ICTの実行を行うことで、ファイルシステムの整合性をチェックし、デバイスにインストールされているイメージに対してファイルシステムの整合性(ファイルハッシュの不一致があるか)をチェックし、追加や変更されたファイルの検出を行うことが可能。
- Volexityの調査によれば、デバイスの正規イメージファイルが改ざんされており、組み込みの整合性チェックツールによる検出を回避する細工がシステムに行われていた。そのため、Ivantiはすべての利用者に対して、外部から取得したICTによる調査を行うよう呼び掛けている。
- 外部の整合性チェックツール実行時の注意事項として、チェック対象デバイスの再起動が自動的に行われる。そのため、JPCERT/CCはまずは組み込みの整合性チェックツールの利用を検討するよう促している。さらに当該機器の調査を行っていたVolexityによれば、再起動によってシステムメモリの大部分が上書きされるとして、ICT実行以前に侵害兆候がある場合はメモリやその他のデータの収集を行うまで実行を控えたほうが良いと述べている。またIvantiは最新のスナップショットと比較しチェックするものであることから、マルウエアやその他の把握されていない侵害兆候の検出は行えないとして、継続的な監視と組み合わせてICTの実行を行うよう合わせて推奨。
- IvantiはVolexityとMandiantが公表している情報(悪用状況にて記載)を参照の上、追加の調査を行うことも可能と説明している。
〇デバイスログの確認
- Volexityは、デバイスログの確認を通じて次のケースが侵害検出に役立つとして紹介を行っている。
- 以前は機能していたログ消去やログの無効化が行われている(少なくとも1社で当該状況を確認)
- デバイスの一般的に利用されることのないパスへの接続が行われている(例えば
/dana-na/help/) - 組み込みの整合性検出ツールによる定期スキャンでの検出が行われている(SYS32039、SYS32040として出力。Web UIでは単にCriticalと表示。)
〇ネットワークトラフィックの分析
- デバイスから異常な通信が発信された形跡がないか、インターネット向けと内部向け双方より確認を行う。Volexityは、観測した異常なアクティビティとして次のケースを紹介している。
- 外部のWebサイトに対するCurlリクエストの実行
- 外部IPアドレスに対するSSH接続
- SSO/MFAプリバイダーまたはデバイス更新と関連のないホストに対する暗号化された接続
影響ありと確認ができた場合は
- Ivantiは影響を受けていたことが確認された場合、攻撃者が実行中の設定内容を出力し、バックドアとなるWeb Shellを利用者の環境に残ている可能性があるとして、まずはデバイスの構成バックアップおよび出荷時設定へのリセットを推奨している。なお、影響ありと確認できた際にはフォレンジックによる侵害状況の調査も必要となることが想定されるが、Ivantiはフォレンジック業者ではないことからその対応は行えないとしている。
- 出荷時設定リセット後は取得済みのバックアップデータから復元を行う。これら手段についてはKBを参照するよう案内している。
- 復元した環境に対して次の対応を行う。
- デバイスに保存されている証明書を取り消しし、再発行(コード署名証明書、外部インターフェース上のSSL証明書も対象)
- 管理者パスワードのリセット
- デバイスに保存されているAPIキーのリセット
- ゲートウェイで定義されているローカルユーザー(認証サーバーの構成に用いるサービスアカウントも含む)のパスワードをリセット
- ライセンスサーバーの認証情報をリセット
修正バージョンの公開時期
- 修正バージョンの公開は2024年1月22日週より2月19日の週にかけて順次公開が進められる。
- Ivantiは修正バージョンの公開が一斉に行われない点について、セキュリティと品質を優先すると説明。これらを効果的に進めるにあたり、段階的なリリースが必要と判断したとしている。また公開順序についても、テレメトリを通じてインストールされた数が最も多いバージョンより順次公開を進めていくとしている。
| 公開予定週 | Ivanti Connect Secure | Ivanti Policy Secure |
|---|---|---|
| 2024年1月22日週 | 9.1R17x、9.1R18x、22.4R2x、22.5R1x | 9.1R17x、9.1R18x、22.5R1x |
| 2024年1月29日週 | 9.1R14x、9.1R16x、22.3R1x、22.6R2x | 9.1R16x、22.4R1x、22.6R1x |
| 2024年2月12日週 | 9.1R15x、22.2R4x、22.4R1x、22.6R1x | |
| 2024年2月19日週 | 22.1R6x、22.5R2x |
3.悪用の状況
- 2件の脆弱性を悪用する状況について、セキュリティ企業のVolexityとMandiantがそれぞれ報告を行っている。Volexityは2023年12月のケースで悪用を行っていたアクターについてUTA0178を割り当てし、中国の国家関与の脅威アクターの可能性があると指摘。またMandiantは当該アクターについて既知のアクターとは関連づけられていないとして、UNC5221 を割り当てしている。
Ivantiの報告(2024年1月10日)
- Ivantiは、脆弱性情報公開前に影響を受けていたとされる顧客を20社未満と説明した。
Volexity の報告(2024年1月10日)
- Volexityは2023年12月3日にIvanti Connect Secureにおいて不審な活動があったと報告。これは12月2週に同社の監視サービスを利用する顧客1社で内外のWebサーバーにおいてWebシェル設置という不審なアクティビティを検知したことによるもので、対象デバイスの調査を行ったところログの消去と記録の無効化が行われていた。加えてデバイスのIPアドレスから不審な通信発生の疑念も確認された。
- Volexityがデバイスに対し行った詳細な調査より、イメージ改ざんによって整合性チェックツールの検出を回避する細工がシステムに行われていることや、正規のCGIファイル
compcheckresult.cgiのバックドア化、JSファイル改ざんによる接続ユーザーの認証情報のキーロギングが確認されている。 - 調査より把握されたUTA0178の主な活動は、システムの偵察・探索で、Ivanti Connet Secureの侵害を行った後、侵害された資格情報を悪用し別のシステムへの接続を試み、さらにそこから得た資格情報を通じてRDP経由で追加のシステムへのログインを行っていた。
- VolexityはUTA0178が使用していたWebシェルを「GLASTOKEN」と呼称しており、今回の調査では2つのバージョンが特定された。さらにIvanti Connect Secureの正規のファイル
visits.pyを変更してWebシェルを追加する事例も確認されており、そちらについては「GIFTEDVISITOR」という名称を付けている。
Mandiantの報告(2024年1月12日)
- MandiantはVolexityの報告同様に2023年12月より悪用を通じて攻撃者による5つのマルウエアを確認したと報告。
| マルウエア名 | (改ざんされた)ファイル名 | 概要 |
|---|---|---|
| THINSPOOL | sessionserver.sh | LIGHTWIREを正規のIvanti Connect Secureのファイルに埋め込むシェルスクリプトドロッパー |
| LIGHTWIRE | compcheckresult.cgi | PerlベースのWebシェル |
| WIREFIRE | visits.py | PythonベースのWebシェル |
| WARPFIRE | lastauthserverused.js | JavaScriptを用いた認証情報スティーラー |
| ZIPLINE | libsecure.so.1 | libsecure.soからのExportされた関数をハイジャックするバックドア |
- Volexityのインディケーター情報にも多数記載の合った通り、サポート対象外の侵害済みのCyberoam VPNアプライアンスがC2サーバーとして使用されており、UNC5221にとって検出回避に有効となっていた可能性があると指摘。
Volexityの報告(2024年1月15日)
- Volexityは、脆弱性情報公開後の動きとして、UTA0178以外の別の攻撃者による積極的な活動の発生と、1,700台を超える世界規模での侵害されたデバイスの存在を把握したと報告。脆弱性に明らかに詳しい何者か(攻撃者かセキュリティ研究者か不明)による広範なスキャン活動が2024年1月11日以降行われており、同日より複数の組織より整合性チェックツールで不一致が生じたとの連絡を受領したと説明。
- 新たに確認された侵害環境からはGIFTEDVISITOR の亜種とみられるWebシェルが確認された。Volexityは、このマルウエアが存在する証拠について、スキャンする手段を考案し実行したところ、世界中の約3万台のデバイスのうち、およそ1,700台についてGIFTEDVISITOR による侵害が行われたことを特定。活動は1月15日時点でも継続しており、対象は無差別に行われていることから世界中に影響を受けたデバイスを確認したと説明。同社では中程度の確信度としてUTA0178による活動と分析を行っている。
- UTA0178とは異なる脅威アクターによるものと推定される攻撃活動も確認したと報告。悪用の試行について、VolexityはUTA0178と比べ著しく劣った活動と評価している。UTA0188という別の割当を行った攻撃者による悪用の試みも観測したとしている。
- ShadowServerはVolexityと連携し、ダッシュボード上で侵害デバイスの国別件数について公開を開始。2024年1月18日時点で日本国内のデバイスは25台を観測したとされる。
Ivantiの報告(2024年1月16日)
- アドバイザリ公開後の攻撃活動は自動化されている可能性があると分析。Webシェル展開後に攻撃者が追加的にさらに何か行うといった動きは確認できておらず、報告も受けていないとしている。
JPCERT/CCの報告(2024年1月17日)
- 当該脆弱性悪用による被害を受けた可能性のある国内ホストの管理者に対して情報提供を行っていると明らかにしている。Volexityが把握した約1,700件の侵害済デバイスに含まれるものかについては明記がされていないため関連不明。
Volexityの報告(2024年1月18日)
- 2024年1月16日に行ったWebシェル「GIFTEDVISITOR」のスキャン結果より、前回スキャンよりさらに368台の侵害済みデバイスを確認したと報告。UTA0178によるGIFTEDVISITORに感染したとみられるデバイスは延べ2,100台を超える結果となった。
- 侵害されたデバイスを調査したところ、あるEGGファイル(
/home/venv3/lib/python3.6/site-packages/scanner-0.1-py3.6.egg)の改ざんを確認した。このEGGファイルは組み込みの整合性チェックツールに関連したZIPファイルとみられ、このアーカイブの中にあるscanner.pyに対して常に整合性チェックツールの結果が正常(ファイルハッシュの比較結果として不一致が常に0となる)となるよう処理の変更が加えられていたことが判明した。 - 暗号資産のXMRig のマイニングを仕掛けようとする動きも確認されている。これについてはサイバー犯罪者が公開されたPoCを通じて武器化に成功した可能性があると指摘。デバイスが攻撃者が指定した様々なURLより悪意のあるコードをダウンロードする動きがみられている。同様の報告はGreynoiseも行っている。
- Volexityは回避策の適用(XMLのインポート)についても適切な手順で行うことを呼び掛けている。デバイスへ回避策適用後、再び侵害されたとする複数の事例を把握していると報告。原因は最初デバイスへ回避策を適用したのち、以前のバックアップ構成ファイルを取り込んでしまっていたため。バックアップの構成によって、適用済みの回避策が無効または削除される可能性があると指摘する。
インディケーター情報
- https://github.com/volexity/threat-intel/blob/main/2024/2024-01-10%20Ivanti%20Connect%20Secure/indicators/iocs.csv (Volexity)
- 89[.]233[.]109[.]77 (JPCERT/CCが1月11日に国内での悪用可能性のある動きにに関わったIPアドレスとして公表)
関連情報
Ivantiのセキュリティアドバイザリ等
注意喚起等
- ED 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities
- Ivanti Releases Security Update for Connect Secure and Policy Secure Gateways (米国CISA)
- Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 (JPCERT/CC)
- Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) (IPA)
- Exploitation of vulnerabilities affecting Ivanti Connect Secure and Ivanti Policy Secure (英NCSC)
