IvantiはIT資産管理などセキュリティ保護の包括的なシステムを提供しているアメリカ・ユタ州にコーポレート本社がある企業ですが、日本においても同社製品は広く利用されているようです。Ivantiは今年1月10日に2つのゼロデイ脆弱性に関する情報を公開、すでに脅威グループにより悪用されておりAPT攻撃とみられる攻撃が確認されているということです。
少なくとも昨年12月から
公開されたゼロティ脆弱性はCVE-2023-46805およびCVE-2024-21887で、IvantiによるとCVE-2023-46805はIvanti ICS 9.x、22.x、および Ivanti Policy Secure の Web コンポーネントに認証バイパスの脆弱性があるため、リモート攻撃者が制御チェックをバイパスして、制限されたリソースにアクセスできるということです。また、CVE-2024-21887はIvanti Connect Secure (9.x、22.x) および Ivanti Policy Secure の Web コンポーネントにコマンド インジェクションの脆弱性があるため、認証された管理者が特別に作成されたリクエストを送信し、アプライアンス上で任意のコマンドを実行することができるということです。
Ivanti とともに調査を行っているMandiantによると、すでにこの脆弱性を悪用した攻撃が行われており、少なくとも2023年12月からこれら脆弱性を悪用したゼロデイ攻撃が確認されているということです。Mandiantはこの攻撃者をUNC5221として追跡しています。また、関連する5つのマルウェアファミリの詳細を把握しており、これらマルウェアファミリによって攻撃者が認証を回避し、デバイスにバックドアアクセスを提供することを可能にしているということです。
Mandiant によるとUNC5221は、CVE-2023-46805およびCVE-2024-21887の悪用に成功した後、複数のカスタムマルウェアファミリを利用しIvanti Connect Secure VPN内の正規のファイルを悪意のあるコードでトロイの木馬化するとともに、Perlスクリプト (sessionserver.pl) を利用してファイルシステムを 読み取り/書き込み として再マウントし、Webシェル LIGHTWIRE を正規のConnect Secureファイルに書き込むシェルスクリプトドロッパーであるTHINSPOOLや、その他の後続ツールを展開できるようにしたということです。
1700を超すデバイスへの侵害確認
MandiantはTHINSPOOLについて、UNC5221が脆弱性悪用後の活動に使用するLIGHTWIRE Web シェルの最初のドロッパーであることに加えて、永続性と検出回避の両方のための重要なツールとして機能していると分析、 侵害後にUNC5221によって使用されたLIGHTWIREおよびWIREFIRE WebシェルはIvanti Connect Secure VPNアプライアンスへの継続的なアクセスを可能にする足がかりとなっていることから、日和見的な攻撃ではないとしています。Mandiantは「ゼロデイ脆弱性を持つエッジインフラを標的にすることは、スパイ活動を行う攻撃者が利用する一貫した戦術」だとして、スパイ行為に動機づけられたAPTキャンペーンである可能性があると指摘しています。
Ivantiはパッチを1月22日から段階的にリリースする予定で、最終バージョンを2月19日の週に提供する予定だとしています。また、現在は緩和策を公開しています。サイバーセキュリティ企業のVolexityのブログによるとこのゼロティ攻撃は広範囲にわたっており、これまでに世界で1700を超えるデバイスで侵害が確認されているということです。また、最初の攻撃者とは違う別の攻撃者がエクスプロイトにアクセスし脆弱性を悪用しようとしているということです。Ivanti製品は日本でも広く利用されており、同社日本法人は、代理店を通じて顧客に情報を提供するとともに対応を求めているということです。
■出典
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day
https://www.jpcert.or.jp/at/2024/at240002.html
https://www.volexity.com/blog/2024/01/15/ivanti-connect-secure-vpn-exploitation-goes-global/