公開日:2024/01/11 最終更新日:2024/01/11

JVNVU#92420039
Ivanti製Connect SecureおよびPolicy Secureにおける複数の脆弱性
緊急

概要

Ivantiが提供するIvanti Connect SecureおよびIvanti Policy Secureには、複数の脆弱性が存在します。

影響を受けるシステム

以下の製品のバージョン9系および22系のすべてのサポートバージョンが本脆弱性の影響を受けます。

  • Ivanti Connect Secure (ICS)(旧名称 Pulse Connect Secure)
  • Ivanti Policy Secure
なお、すでにサポートが終了しているバージョンにおける影響は評価されておらず、開発者はサポート対象のバージョンへの移行を推奨しています。
サポートバージョンに関してはGranular Software Release EOL Timelines and Support Matrixをご確認ください。

詳細情報

Ivantiが提供するIvanti Connect SecureおよびIvanti Policy Secureには、次の複数の脆弱性が存在します。

  • 不適切な認証 (CWE-287) - CVE-2023-46805
  • コマンドインジェクション (CWE-77) - CVE-2024-21887
なお、本脆弱性を悪用した攻撃が既に確認されています。
脆弱性を悪用されて機器が侵害された可能性を調べる方法については、開発者が提供するアドバイザリなどの最新の情報をご確認ください。本情報を公表時点では、開発者が提供する整合性チェックツール(IntegrityChecker Tool)の実行が推奨されています。

想定される影響

2つの脆弱性を組み合わせて悪用された場合、遠隔の第三者によって、認証不要で当該システム上で任意のコマンドを実行される可能性があります。

対策方法

ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

開発者によると、本脆弱性に対するパッチは、2024年1月22日の週より2月12日の週にかけて段階的に提供されるとのことです。

詳細は、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
Ivanti CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
Granular Software Release EOL Timelines and Support Matrix

参考情報

  1. CISA Alert January 10, 2024
    Ivanti Releases Security Update for Connect Secure and Policy Secure Gateways
  2. VOLEXITY BLOG January 10, 2024
    Active Exploitation of Two Zero-Day Vulnerabilities in Ivanti Connect Secure VPN

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告 JPCERT-AT-2024-0002
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia