本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
Ivanti Connect Secure(旧: Pulse Connect Secure)およびIvanti Policy Secureゲートウェイの脆弱性(CVE-2023-46805, CVE-2024-21887)を狙った攻撃
今月は、Ivanti Connect Secure(旧: Pulse Connect Secure)およびIvanti Policy Secureゲートウェイの脆弱性(CVE-2023-46805, CVE-2024-21887)を狙った攻撃を新たに観測しました。
本脆弱性は1/10(米国時間)に公開されました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)となっており、これらが組み合わされて悪用された場合、攻撃者に認証不要で任意のコマンドを実行されてしまう可能性があります。
下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは、1/17(水)から攻撃を観測しています。1/19(金)~20(土)において攻撃数が急増しました。アメリカからの攻撃を多数観測しています。
 |
| # | 国名 | 割合 |
| 1 | アメリカ | 78.4 % |
| 2 | 日本 | 6.7 % |
| 3 | 台湾 | 5.8 % |
| 4 | カナダ | 5.7 % |
| 5 | イギリス | 0.7 % |
下図は、弊社SOCで検知した攻撃のパケットペイロードの一部です。認証を回避してシステム情報へのアクセスを試みた通信となっています。当該製品を使用している場合は、早急にベンダーの指示に従ってバージョンアップや回避策を実施することをお勧めします。
|
GET /api/v1/totp/user-backup-code/../../system/system-information HTTP/1.1 |
影響対象
- Ivanti Connect Secure (旧: Pulse Connect Secure)
- Ivanti Policy Secure (旧: Pulse Policy Secure)
対策方法
- 一部の製品向けにパッチの提供が開始しており、今後順次リリースしていく予定とのことです。
詳細はIvanti社が提供している情報をご確認ください。
参考情報
- Ivanti KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US - Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起
https://www.jpcert.or.jp/at/2024/at240002.html - Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等)
https://www.ipa.go.jp/security/security-alert/2023/20240111.html - CVE-2023-46805
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46805 - CVE-2024-21887
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21887
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
