エクスプロイト&脆弱性
Ivanti製VPNデバイスのゼロデイ脆弱性(CVE-2023-46805, CVE-2024-21887)の脅威からネットワークを守る
Ivanti製VPNデバイスのゼロデイ脆弱性は、企業や組織のネットワークセキュリティに深刻な影響を及ぼす可能性があります。Ivantiが公表している案内をもとに対処を行い、組織のセキュリティ強化を実践することを推奨します。
[2024/02/06 追加] Ivantiより新たな脆弱性(CVE-2024-21888, CVE-2024-21893)のアドバイザリと、脆弱性を修正するパッチが公開されています。詳細についてはIvantiが提供する最新情報をご確認ください。
Ivanti製VPNデバイスに存在するゼロデイ脆弱性(CVE-2023-46805, CVE-2024-21887)は、まだ大きな注目を集めていないかもしれませんが、既に深刻な影響が懸念されています。CVE-2023-46805は認証バイパスの脆弱性、CVE-2024-21887はコマンドインジェクションの脆弱性であり、組み合わせることで攻撃者が認証不要で任意のコマンドを実行する可能性があります。
本脆弱性の対象となる製品
- Ivanti Connect Secure (9.x , 22.x)
- Ivanti Policy Secure
侵害検出方法や復旧方法に関するIvantiからの情報
この脆弱性における問題は、VPNサーバがIPS技術で保護されていない場合、リリース待ちの修正パッチの適用しかないという点です。2024年1月18日時点での最良の対処法としては、Ivanti Gatewayのイメージバックアップを取り、最新ビルドに完全に再構築する手順が共有されています。また、最新の情報によると、2024年1月16日に実証・公開された悪用手法が、実証した当方のグループから他の攻撃者にも拡大している可能性も懸念されています。対処法に関する詳細は、CVE-2023-46805およびCVE-2024-21887の脆弱性にも関するIvantiの案内をご確認ください。
主な懸念事項は今回の脆弱性だけに留まりません。2023年を振り返ると、VPNの脆弱性およびその攻撃事例の件数が多かったことが分かります。こうしたVPN関連の脆弱性は、特にビジネス、病院、学校、政府機関などの環境で見過ごされがちです。これらの現場では、IT管理者が日々の脅威状況に十分に関与していない可能性もあり、効果的かつ抜本的な対応策が必要とされています。
そのためには、どのような対応策が可能でしょうか。従来型VPNの場合、完全には制御されていない形で全体のネットワークへのアクセスを提供していますが、より安全な代替策としては、IT管理者が判断した特定のリソースのみにアクセスを許可するプライベートネットワークの構築が考えられます。理想的には、ゼロトラストの最小権限の原則が有効ですが、企業や組織の内部要因等を考慮するとその実現には困難が伴う場合もあるでしょう。アクセスを許可するプライベートネットワークの構築に関しては、例えば、SEC(米国証券取引委員会)の特定アカウントを狙ったSIMスワップ攻撃(攻撃者が標的の電話番号を窃取してSIMカードを交換する手口)を想定した場合、このような重要な電話番号には、SIMカードの交換に際して複数の認証レイヤーを設けることなどが、そうした対応策に相当します。
この対応策の場合、VPNを使用せずにユーザがリソースにアクセスできることになり、こうした状況下では、Webポータルを通じて常に監視され、不審な挙動も即座に把握されます。問題の兆候がわずかでも見られた場合、このセキュリティシステムにより、ポータルやユーザアカウントを即座にシャットダウンするか、関連デバイスをブロックすることが可能となります。
Trend Vision One ™の機能の1つであるTrend Micro™ Zero Trust Secure Accessは、企業や組織でのネットワークセキュリティに対するアプローチが根本的に改善できる可能性があります。現在、このフレームワークのセキュリティ機能は、想像以上に進歩しています。例えば、リモートデスクトッププロトコル(RDP)クライアントのアクセス設定や認証も可能であり、何らかの問題が発生した場合には、ネットワークアクセスだけでなくデバイスやユーザアカウントも即座にブロックされます。
このアプローチにより、単一の脆弱性が大きなセキュリティ危機に発展するリスクを阻止できます。また、受け入れ可能なデバイスリスクスコアの基準を設定することも可能です。デバイスが潜在的に脆弱であるか侵害されている可能性がある場合、そのデバイスのネットワークアクセスと関連するユーザアカウントは直ちに制限されます。ゼロトラストアプローチの採用は簡単ではありませんが、セキュリティ業界が目指すセキュリティ対策を考慮した場合、こうした対応策は必要不可欠で重要な措置と言えるでしょう。
Ivanti製VPNデバイスの今回の脆弱性に関して、トレンドマイクロのソリューションによる対応シナリオは次のようになります。Trend Vision One ™の顧客がIvanti製VPNデバイスの脆弱性とその影響に関するアタックサーフェスの通知を受け、修正パッチ適用のアドバイスを受けます。この脆弱性は2023年12月3日から悪用されていたものの、2024年1月になって初めて知られるようになりました。その後、顧客はTrend Micro™ Zero Trust Secure Accessを利用して、必要なアプリケーションやウェブアプリケーションへのアクセスルールを調整することができます。
このようなモジュラー型プロキシ設定により、暗号化されたネットワークトラフィックの監視と対応プレイブックを実施することで、外部からの攻撃を阻止し、セキュリティ侵害後のネットワーク内での水平移動・内部活動を防ぐことが可能になります。
参考記事:
Protecting Your Network Security from Ivanti Zero-Day Threat
By: Chris LaFleur
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)