Ivanti 脆弱性を狙う攻撃グループが登場

セキュリティメディア「ハッカーニュース」によると、政府が支援する攻撃グループが Ivanti （イヴァンティ）のCSAからの脆弱性を攻略しているそうです。ここにはゼロデイ脆弱性も含まれています。今まで問題になっている脆弱性は大枠で３つであり、CVE-2024-8190、CVE-2024-8963、CVE-2024-9380がそれです。順番通りに7.2点のコマンド・インジェクション脆弱性、9.4点のパストラバーサル脆弱性、7.2点のコマンドインジェクション脆弱性です。攻撃者についてはまだ知られていないが、技術的に優れて周密であるところで国の支援を受けるグループに見えるそうです。

他の Ivanti サービスであるEPMからも脆弱性が見つかりましたが、この脆弱性もこのハッカーグループがエクスプロイトしていることが明らかになりました。この場合、問題になる脆弱性はCVE-2024-29824でした。非常に高い危険レベルのリモートコード実行脆弱性です。攻撃者はCSAに侵入して新たなアカウントを作成したり、任意のコマンドやパワーシェルコードを実行することと知られています。

Fortinetは、「まだ攻撃者らの確かな動機は見つけ出せまんでした。ただ、CSAデバイス内でカーネルの権限を続いて維持しようとするのは確かに見えます。カーネルの権限を保有すると、デバイスを工場初期化しても続いて制御できるようになります。」と加えました。