Ivanti のVPNから発見されたゼロデイ、パッチはまだ

セキュリティメディア「SecurityWeek」によると、最近 Ivanti のVPN製品で発見されたゼロデイ脆弱性に対するパッチがまだ開発されていないそうです。 Ivanti は1月22日からパッチを配布しはじめると発表したが、今までも配布されていないのです。 Ivanti 内部的にもパッチの開発に難航しているとみえます。実は、 Ivanti は先週の金曜日にもう約束した期限を過ぎたことを認めて「パッチの品質が良くない」と述べ、まだ明確な開発完了時点は予測しにくいと知らせました。

約3週前、セキュリティ会社のVolexityは、中国政府の支援を受けるAPTグループがゼロデイ脆弱性二つをエクスプロイトし、アメリカの企業に侵入しているという警告を発表しました。二つの脆弱性は全て Ivanti のVPNから検知されました。そのため、パッチが発表されるまでは Ivanti のVPNを日活性化した方がいいという勧告もありました。

CISAの関係者は二つの脆弱性に対し、「それらを連鎖的にエクスプロイトすると、脆弱な製品で任意の命令を実行できるようになります。 Ivanti は、公式パッチの前に危険を緩和する手段としてXMLファイルを配布しているので、組織はこれを検討した方がいいと思います。」と意見を出しました。