https://www.jpcert.or.jp/at/2024/at240002.html
引用元: JPCERTコーディネーションセンター 注意喚起
詳細、最新情報については、上記引用元を参照ください。以下に概要を抜粋しております。
概要
Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起
https://www.jpcert.or.jp/at/2024/at240002.html
I. 概要
** 更新: 2024年1月31日追記 ********************************************
JPCERT/CCは、本脆弱性を悪用したとみられる攻撃が国内組織に対しても行われ
た可能性があることを確認しています。また、1月16日に本脆弱性を実証する
コード(Proof-of-Concept)が公開されて以降、本脆弱性を悪用するさまざま
な攻撃が発生しています。同製品を利用している場合は速やかに回避策の適用
や調査を推奨します。
***********************************************************************
V. 侵害検出方法
** 更新: 2024年1月31日追記 ********************************************
本情報の更新時点では、侵害検出方法として、Ivantiが提供する整合性チェッ
クツール(Integrity Checker Tool)の実行が推奨されています。Ivantiが提
供するツールをダウンロードし実行する外部チェック(external ICT)は機器
の再起動を伴います。機器に搭載される内部チェック(In-Build ICT)が利用
できる場合はそちらの利用をまずご検討ください。
Ivantiは内部チェック(In-Build ICT)の出力結果を改ざんする攻撃を一部確
認しており、内部チェックだけでなく外部チェックも実行することを推奨して
います。ツール実行に関する留意点や条件などの詳細は、Ivantiが提供する最
新の情報をご確認ください。
Ivanti
KB44859 - How to Use the In-Build Integrity Check Tool
https://forums.ivanti.com/s/article/KB44859
Ivanti
KB44755 - Pulse Connect Secure (PCS) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755
なお、痕跡の削除のために製品上のログが削除されているケースも確認されて
います。調査時には製品上のログや痕跡が削除されている可能性にも留意いた
だき、後述の「VI. 関連情報」にも掲載されている既知の攻撃の痕跡などの情
報も元に周辺機器のログも調査をいただくことを推奨します。
また、本脆弱性を悪用する攻撃者による侵害が疑われ、同製品から構成および
設定情報、資格情報などが窃取された可能性がある場合は、更なる対応や調査
を行うことが推奨されます。影響を受けた可能性がある資格情報の変更などの
対応に加え、窃取された資格情報を用いてVPNやRDPの認証を試みる第三者の不
正なログインがないかなどを監視および確認いただくことも推奨します。
***********************************************************************
VI. 関連情報
** 更新: 2024年1月31日追記 ********************************************
2024年1月16日、本脆弱性を実証するコード(Proof-of-Concept)が公開されて
以降、本脆弱性を悪用する下記のような様々な攻撃が行われていることを示す
情報が複数公開されています。16日までに本脆弱性の影響を緩和する回避策を
適用できていない場合、速やかに回避策の適用や調査を行ってください。
- ログイン資格情報窃取を目的とした正規のJavaScriptを改ざんする攻撃
- 構成情報や設定情報の窃取を試みる攻撃
- マルウェアをダウンロードし実行する攻撃
- 同製品から窃取した情報を用いて内部に侵入を試みる攻撃
Censys
The Mass Exploitation of Ivanti Connect Secure
https://censys.com/the-mass-exploitation-of-ivanti-connect-secure/
Darktrace
The Unknown Unknowns: Post-Exploitation Activities of Ivanti CS/PS Appliances
https://www.darktrace.com/blog/the-unknown-unknowns-post-exploitation-activities-of-ivanti-cs-ps-appliances
JPCERT/CC 注意喚起
https://www.jpcert.or.jp/at/2024/at240002.html