Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887)
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887) とは何ですか?
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887)Ivanti Connect Secure VPN アプライアンスの 2 件の連鎖ゼロデイで、2023 年末から 2024 年初頭にかけて中国系と疑われるスパイ集団に悪用された。
2024 年 1 月、Ivanti と Mandiant は Ivanti Connect Secure と Policy Secure の 2 件のゼロデイを公表しました。CVE-2023-46805 は Web コンポーネントの認証バイパス、CVE-2024-21887 は管理コンポーネントのコマンドインジェクションです。連鎖すると、アプライアンス上で未認証のリモートコード実行が可能になります。Mandiant は初期の悪用を、中国系と疑われる UNC5221 に帰属させ、Web シェルや認証情報窃取ツールを設置したと報告しました。CISA など各国当局は緊急指令を発し、対象機器の切断を命じました。対策はパッチの段階適用、整合性チェッカーツールの実行、侵害された機器の初期化、および関連する認証情報と証明書の総入れ替えです。
● 例
- 01
UNC5221 が脆弱な Ivanti VPN に BUSHWALK Web シェルを展開し、企業内ネットワークへ横展開する。
- 02
米連邦機関は CISA 指令に従い Ivanti 機器を切断し、クリーンなメディアから再構築する。
● よくある質問
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887) とは何ですか?
Ivanti Connect Secure VPN アプライアンスの 2 件の連鎖ゼロデイで、2023 年末から 2024 年初頭にかけて中国系と疑われるスパイ集団に悪用された。 サイバーセキュリティの 脆弱性 カテゴリに属します。
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887) とはどういう意味ですか?
Ivanti Connect Secure VPN アプライアンスの 2 件の連鎖ゼロデイで、2023 年末から 2024 年初頭にかけて中国系と疑われるスパイ集団に悪用された。
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887) はどのように機能しますか?
2024 年 1 月、Ivanti と Mandiant は Ivanti Connect Secure と Policy Secure の 2 件のゼロデイを公表しました。CVE-2023-46805 は Web コンポーネントの認証バイパス、CVE-2024-21887 は管理コンポーネントのコマンドインジェクションです。連鎖すると、アプライアンス上で未認証のリモートコード実行が可能になります。Mandiant は初期の悪用を、中国系と疑われる UNC5221 に帰属させ、Web シェルや認証情報窃取ツールを設置したと報告しました。CISA など各国当局は緊急指令を発し、対象機器の切断を命じました。対策はパッチの段階適用、整合性チェッカーツールの実行、侵害された機器の初期化、および関連する認証情報と証明書の総入れ替えです。
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887) からどのように防御しますか?
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Ivanti Connect Secure ゼロデイ (CVE-2023-46805, CVE-2024-21887) の別名は何ですか?
一般的な別名: Ivanti Connect Secure RCE, CVE-2024-21887 チェーン。