piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Ivanti Connect Secure、Ivanti Policy Secureの脆弱性 CVE-2023-46805およびCVE-2024-21887 等についてまとめてみた

2024年1月10日、Ivantiは同社のリモートアクセスVPN製品「Ivanti Connect Secure」とネットアクセス制御製品「Ivanti Policy Secure」において、2件の脆弱性(CVE-2023-46805およびCVE-2024-21887)が確認され、これらを組み合わせた攻撃が既に発生しているとしてセキュリティ情報を公開しました。セキュリティ会社のVolexityは、2024年1月15日に世界規模での悪用が確認されているとして、回避策の適用だけでなく、侵害兆候の確認も併せて行うよう利用者への対応を推奨しています。またその後も別の脆弱性情報が公開されており、Ivantiは影響を受ける製品を最新版へ更新するよう呼び掛けています。ここでは関連する情報をまとめます。

1.脆弱性概要

2024年1月に入って以降、脆弱性修正が適宜行われており、2月8日までに修正された脆弱性は全部で5件。このうち悪用が確認された脆弱性は当初公表された2件であったが、その後のIvantiの調査を通じて1件が増え合計3件となった。これ以外にもPoCが公開されている脆弱性CVE-2024-22024がある。

CVE CVSS v3(基本値) 脆弱性の概要
CVE-2023-46805 8.2
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
認証バイパスの脆弱性(CWE-287)
Webコンポーネントに対し、攻撃者により認証制御のチェックを回避し、リモートから制限されたリソースにアクセスされる恐れ。
CVE-2024-21887 9.1
AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
コマンドインジェクションの脆弱性(CWE-77)
Webコンポーネントに対し、認証された管理権限を持つアカウントにより特別に細工したリクエスト送信によってリモートから任意のコマンド実行をされる恐れ。
CVE-2024-21893 8.2
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
SSRFの脆弱性(CWE-918)
SAMLコンポーネントに対して、認証の必要なく特定の制限されたリソースへの接続をされる恐れ。
CVE-2023-46805、CVE-2024-21887
  • CVE-2023-46805とCVE-2024-21887は、組み合わせることでリモートから当該製品に対し、認証の必要なく任意のコマンド実行を行うことが可能となる。
  • 脆弱性の詳細については、Rapid7がIvanti Connect Secure 22.3R1(build 1647)に対して行った調査結果を公表している。またAssetnoteもIvanti Connect Secure 9.1R11.4において調査した結果を公表している。
  • 同社は製品の特定のREST APIサービス(/api/v1/totp/user-backup-code)において、パスに対し認証チェックが行われていないことを発見し、「../../」を使用して任意のリソースにアクセスできる認証バイパスの脆弱性(CVE-2023-46805とみられる)を確認。さらに認証を要するコマンドインジェクションの方法2件も特定し、どちらもCVE-2024-21887の可能性があると説明。
  • これら2つの脆弱性を組み合わせた単一のリクエスト方法の検証を行い、コマンド実行が行われることを確認。さらにIvantiが回避策として提供するXMLをインポートすることで確認した攻撃手段が機能しないことも併せて確認した。

2.影響対象

  • 影響を受ける製品は次の2製品。いずれも2020年にIvantiに買収されたPulse Secure社が提供を行っていたもの。
    • Ivanti Connect Secure(旧Pulse Connect Secure)
    • Ivanti Policy Secure (旧 Pulse Policy Secure)
  • 2024年1月10日時点でIvantiがサポートを行っていた全てのバージョンが影響を受ける。なお、サポート期限を迎えているバージョンについては、Ivantiは影響有無の評価を行っておらず、サポート対象バージョンへのアップグレードを強く推奨している。加えて回避策についても機能するかの評価は行われていない。
  • CVE-2024-22024の影響を受けるのは一部のバージョンのみ。
  • Paloaltoは、Ivantiの該当製品が世界中の4万社以上で利用されているとして、2024年1月9日時点で141か国 30,089台の外部から接続可能なIvanti Connect Secureを確認したと報告。
  • Shadow ServerはIvantiが推奨する回避策を適用していないとみられるホストが1月15日時点で6,809台存在していると報告。日本国内のものも多く、該当機器は957台としている。
  • Assetnoteは、同社が入手した最も古いバージョンである9.1R11.4においても脆弱性の影響を受けることを確認したと報告している。
回避策
  • 修正バージョンがすでに公開されているが、何らかの事由によりバージョンアップが難しい場合、回避策の適用および侵害兆候の確認により脆弱性悪用によるリスク低減を行う必要がある。
  • Ivantiは回避策として、同社が悪用による影響を軽減させるために準備したXMLのインポートを推奨している。XMLインポート後は、脆弱性悪用および現在把握されているWeb Shellのブロックを行う。XMLのインポートは再起動不要だが、合わせて兆候確認手段として推奨されているICTの実行時には再起動が自動的に実行される。
  • 追加で確認された脆弱性への回避策として、2024年1月31日にXMLが新しいものに変更されており、XMLのインポートを改めて行う必要がある。
  • XMLによる回避策適用に際して、ライセンスサーバーへの導入は非推奨としており、VLANやIP制限によるサーバー接続可能ユーザーの制限による対応をアナウンスしている。
  • XML適用後のデバイスはいくつかの機能に対して影響または機能低下が生じる。利用状況次第で影響を受けないケースもあるため、詳細はKB参照のこと。
対象製品 回避策適用により影響が生じる機能等
Ivanti Connect Secure ・SAML
・Admin REST APIs
・End User Portal (Advanced HTML5)
・End user JSAM
・Rewriter
・Citrix StoreFront with HTML5
・Auto-Launch of PSAL install
・Admin CRL Configuration
Ivanti Policy Secure ・Profiler and Remote Profiler(大幅に性能低下、IPSへの認証は継続)
・UEBA adaptive authentication(使用不可)
侵害兆候の確認方法

〇整合性チェックツールの実行

  • Ivantiは整合性チェックツール(ICT)の実行を推奨。ICTの実行を行うことで、ファイルシステムの整合性をチェックし、デバイスにインストールされているイメージに対してファイルシステムの整合性(ファイルハッシュの不一致があるか)をチェックし、追加や変更されたファイルの検出を行うことが可能。
  • Volexityの調査によれば、デバイスの正規イメージファイルが改ざんされており、組み込みの整合性チェックツールによる検出を回避する細工がシステムに行われていた。そのため、Ivantiはすべての利用者に対して、外部から取得したICTによる調査を行うよう呼び掛けている。
  • 外部の整合性チェックツール実行時の注意事項として、チェック対象デバイスの再起動が自動的に行われる。そのため、JPCERT/CCはまずは組み込みの整合性チェックツールの利用を検討するよう促している。さらに当該機器の調査を行っていたVolexityによれば、再起動によってシステムメモリの大部分が上書きされるとして、ICT実行以前に侵害兆候がある場合はメモリやその他のデータの収集を行うまで実行を控えたほうが良いと述べている。またIvantiは最新のスナップショットと比較しチェックするものであることから、マルウエアやその他の把握されていない侵害兆候の検出は行えないとして、継続的な監視と組み合わせてICTの実行を行うよう合わせて推奨。
  • IvantiはVolexityとMandiantが公表している情報(悪用状況にて記載)を参照の上、追加の調査を行うことも可能と説明している。

〇デバイスログの確認

  • Volexityは、デバイスログの確認を通じて次のケースが侵害検出に役立つとして紹介を行っている。
    • 以前は機能していたログ消去やログの無効化が行われている(少なくとも1社で当該状況を確認)
    • デバイスの一般的に利用されることのないパスへの接続が行われている(例えば/dana-na/help/
    • 組み込みの整合性検出ツールによる定期スキャンでの検出が行われている(SYS32039、SYS32040として出力。Web UIでは単にCriticalと表示。)

〇ネットワークトラフィックの分析

  • デバイスから異常な通信が発信された形跡がないか、インターネット向けと内部向け双方より確認を行う。Volexityは、観測した異常なアクティビティとして次のケースを紹介している。
    • 外部のWebサイトに対するCurlリクエストの実行
    • 外部IPアドレスに対するSSH接続
    • SSO/MFAプリバイダーまたはデバイス更新と関連のないホストに対する暗号化された接続
影響ありと確認ができた場合は
  1. Ivantiは影響を受けていたことが確認された場合、攻撃者が実行中の設定内容を出力し、バックドアとなるWeb Shellを利用者の環境に残ている可能性があるとして、まずはデバイスの構成バックアップおよび出荷時設定へのリセットを推奨している。なお、影響ありと確認できた際にはフォレンジックによる侵害状況の調査も必要となることが想定されるが、Ivantiはフォレンジック業者ではないことからその対応は行えないとしている。
  2. 出荷時設定リセット後は取得済みのバックアップデータから復元を行う。これら手段についてはKBを参照するよう案内している。
    • 出荷時設定へのリセット方法 KB22964
    • バックアップおよび復元方法 KB44759(アーカイブサーバー使用の場合) ・KB44172 (REST API使用の場合)
  3. 復元した環境に対して次の対応を行う。
    • デバイスに保存されている証明書を取り消しし、再発行(コード署名証明書、外部インターフェース上のSSL証明書も対象)
    • 管理者パスワードのリセット
    • デバイスに保存されているAPIキーのリセット
    • ゲートウェイで定義されているローカルユーザー(認証サーバーの構成に用いるサービスアカウントも含む)のパスワードをリセット
    • ライセンスサーバーの認証情報をリセット
修正バージョンの公開時期
  • 修正バージョンの公開は2024年1月22日週より2月19日の週にかけて順次公開が進められる予定だったが、リリーススケジュールが変更となり、1月31日以降順次公開が進められ、現在は影響を受けるバージョンすべてに修正版が公開された。
  • Ivantiは修正バージョンの公開が一斉に行われない点について、セキュリティと品質を優先すると説明。これらを効果的に進めるにあたり、段階的なリリースが必要と判断したとしている。また公開順序についても、テレメトリを通じてインストールされた数が最も多いバージョンより順次公開を進めていくとしている。
当初公開予定週 Ivanti Connect Secure Ivanti Policy Secure
2024年1月22日週 9.1R17x、9.1R18x、22.4R2x、22.5R1x 9.1R17x、9.1R18x、22.5R1x
2024年1月29日週 9.1R14x、9.1R16x、22.3R1x、22.6R2x 9.1R16x、22.4R1x、22.6R1x
2024年2月12日週 9.1R15x、22.2R4x、22.4R1x、22.6R1x  
2024年2月19日週 22.1R6x、22.5R2x  
対象製品 修正バージョン・公開日
Ivanti Connect Secure 9.1R14x 9.1R14.4 (2024年1月31日公開) → 9.1R14.5 (2024年2月8日公開)
Ivanti Connect Secure 9.1R15x 9.1R15.3 (2024年2月8日公開)
Ivanti Connect Secure 9.1R16x 9.1R16.3 (2024年2月8日公開)
Ivanti Connect Secure 9.1R17x 9.1R17.2 (2024年1月31日公開) → 9.1R17.3 (2024年2月8日公開)
Ivanti Connect Secure 9.1R18x 9.1R18.3 (2024年1月31日公開) → 9.1R18.4 (2024年2月8日公開)
Ivanti Connect Secure 22.4R2x 22.4R2.2 (2024年1月31日公開) → 22.4R2.3 (2024年2月8日公開)
Ivanti Connect Secure 22.5R1x 22.5R1.1 (2024年1月31日公開) → 22.5R1.2 (2024年2月8日公開)
Ivanti Connect Secure 22.5R2x 22.5R2.2 (2024年2月1日公開) → 22.5R2.3 (2024年2月8日公開)
Ivanti Connect Secure 22.6R2x 22.6R2.2 (2024年2月8日公開)
Ivanti Connect Secure 22.1R6x 22.1R6.1 (2024年2月8日公開)
Ivanti Connect Secure 22.2R4x 22.2R4.1 (2024年2月8日公開)
Ivanti Connect Secure 22.3R1x 22.3R1.1 (2024年2月8日公開)
Ivanti Connect Secure 22.4R1x 22.4R1.1 (2024年2月8日公開)
Ivanti Policy Secure 9.1R16x 9.1R16.3 (2024年2月8日公開)
Ivanti Policy Secure 9.1R17 9.1R17.3 (2024年2月1日公開)
Ivanti Policy Secure 9.1R18 9.1R18.4 (2024年2月1日公開)
Ivanti Policy Secure 22.4Rx 22.4R1.1 (2024年2月8日公開)
Ivanti Policy Secure 22.5Rx 22.5R1.1 (2024年2月1日公開) → 22.5R1.2 (2024年2月8日公開)
Ivanti Policy Secure 22.6Rx 22.6R1.1 (2024年2月8日公開)
ZTA 22.5Rx 22.5R1.6 (2024年2月8日公開)
ZTA 22.6Rx 22.6R1 (2024年1月31日公開) → 22.6R1.5、22.6R1.7 (2024年2月8日公開)

3.悪用の状況

  • 2件の脆弱性を悪用する状況について、セキュリティ企業のVolexityとMandiantがそれぞれ報告を行っている。Volexityは2023年12月のケースで悪用を行っていたアクターについてUTA0178を割り当てし、中国の国家関与の脅威アクターの可能性があると指摘。またMandiantは当該アクターについて既知のアクターとは関連づけられていないとして、UNC5221 を割り当てしている。
Ivantiの報告(2024年1月10日)
  • Ivantiは、脆弱性情報公開前に影響を受けていたとされる顧客を20社未満と説明した。
Volexity の報告(2024年1月10日)

www.volexity.com

  • Volexityは2023年12月3日にIvanti Connect Secureにおいて不審な活動があったと報告。これは12月2週に同社の監視サービスを利用する顧客1社で内外のWebサーバーにおいてWebシェル設置という不審なアクティビティを検知したことによるもので、対象デバイスの調査を行ったところログの消去と記録の無効化が行われていた。加えてデバイスのIPアドレスから不審な通信発生の疑念も確認された。
  • Volexityがデバイスに対し行った詳細な調査より、イメージ改ざんによって整合性チェックツールの検出を回避する細工がシステムに行われていることや、正規のCGIファイルcompcheckresult.cgiのバックドア化、JSファイル改ざんによる接続ユーザーの認証情報のキーロギングが確認されている。
  • 調査より把握されたUTA0178の主な活動は、システムの偵察・探索で、Ivanti Connet Secureの侵害を行った後、侵害された資格情報を悪用し別のシステムへの接続を試み、さらにそこから得た資格情報を通じてRDP経由で追加のシステムへのログインを行っていた。
  • VolexityはUTA0178が使用していたWebシェルを「GLASTOKEN」と呼称しており、今回の調査では2つのバージョンが特定された。さらにIvanti Connect Secureの正規のファイル visits.pyを変更してWebシェルを追加する事例も確認されており、そちらについては「GIFTEDVISITOR」という名称を付けている。
Mandiantの報告(2024年1月12日)

www.mandiant.com

  • MandiantはVolexityの報告同様に2023年12月より悪用を通じて攻撃者による5つのマルウエアを確認したと報告。
マルウエア名 (改ざんされた)ファイル名 概要
THINSPOOL sessionserver.sh LIGHTWIREを正規のIvanti Connect Secureのファイルに埋め込むシェルスクリプトドロッパー
LIGHTWIRE compcheckresult.cgi PerlベースのWebシェル
WIREFIRE visits.py PythonベースのWebシェル
WARPFIRE lastauthserverused.js JavaScriptを用いた認証情報スティーラー
ZIPLINE libsecure.so.1 libsecure.soからのExportされた関数をハイジャックするバックドア
  • Volexityのインディケーター情報にも多数記載の合った通り、サポート対象外の侵害済みのCyber​​oam VPNアプライアンスがC2サーバーとして使用されており、UNC5221にとって検出回避に有効となっていた可能性があると指摘。
Volexityの報告(2024年1月15日)

www.volexity.com

  • Volexityは、脆弱性情報公開後の動きとして、UTA0178以外の別の攻撃者による積極的な活動の発生と、1,700台を超える世界規模での侵害されたデバイスの存在を把握したと報告。脆弱性に明らかに詳しい何者か(攻撃者かセキュリティ研究者か不明)による広範なスキャン活動が2024年1月11日以降行われており、同日より複数の組織より整合性チェックツールで不一致が生じたとの連絡を受領したと説明。
  • 新たに確認された侵害環境からはGIFTEDVISITOR の亜種とみられるWebシェルが確認された。Volexityは、このマルウエアが存在する証拠について、スキャンする手段を考案し実行したところ、世界中の約3万台のデバイスのうち、およそ1,700台についてGIFTEDVISITOR による侵害が行われたことを特定。活動は1月15日時点でも継続しており、対象は無差別に行われていることから世界中に影響を受けたデバイスを確認したと説明。同社では中程度の確信度としてUTA0178による活動と分析を行っている。
  • UTA0178とは異なる脅威アクターによるものと推定される攻撃活動も確認したと報告。悪用の試行について、VolexityはUTA0178と比べ著しく劣った活動と評価している。UTA0188という別の割当を行った攻撃者による悪用の試みも観測したとしている。
  • ShadowServerはVolexityと連携し、ダッシュボード上で侵害デバイスの国別件数について公開を開始。2024年1月18日時点で日本国内のデバイスは25台を観測したとされる。またその後も継続して調査が進められており、1月31日時点で460超の台数が侵害影響を受けたとされている。
Ivantiの報告(2024年1月16日)
  • アドバイザリ公開後の攻撃活動は自動化されている可能性があると分析。Webシェル展開後に攻撃者が追加的にさらに何か行うといった動きは確認できておらず、報告も受けていないとしている。
JPCERT/CCの報告(2024年1月17日)
  • 当該脆弱性悪用による被害を受けた可能性のある国内ホストの管理者に対して情報提供を行っていると明らかにしている。Volexityが把握した約1,700件の侵害済デバイスに含まれるものかについては明記がされていないため関連不明。
Volexityの報告(2024年1月18日)

www.volexity.com

  • 2024年1月16日に行ったWebシェル「GIFTEDVISITOR」のスキャン結果より、前回スキャンよりさらに368台の侵害済みデバイスを確認したと報告。UTA0178によるGIFTEDVISITORに感染したとみられるデバイスは延べ2,100台を超える結果となった。
  • 侵害されたデバイスを調査したところ、あるEGGファイル(/home/venv3/lib/python3.6/site-packages/scanner-0.1-py3.6.egg)の改ざんを確認した。このEGGファイルは組み込みの整合性チェックツールに関連したZIPファイルとみられ、このアーカイブの中にあるscanner.pyに対して常に整合性チェックツールの結果が正常(ファイルハッシュの比較結果として不一致が常に0となる)となるよう処理の変更が加えられていたことが判明した。
  • 暗号資産のXMRig のマイニングを仕掛けようとする動きも確認されている。これについてはサイバー犯罪者が公開されたPoCを通じて武器化に成功した可能性があると指摘。デバイスが攻撃者が指定した様々なURLより悪意のあるコードをダウンロードする動きがみられている。同様の報告はGreynoiseも行っている
  • Volexityは回避策の適用(XMLのインポート)についても適切な手順で行うことを呼び掛けている。デバイスへ回避策適用後、再び侵害されたとする複数の事例を把握していると報告。原因は最初デバイスへ回避策を適用したのち、以前のバックアップ構成ファイルを取り込んでしまっていたため。バックアップの構成によって、適用済みの回避策が無効または削除される可能性があると指摘する。
DarkTrace の報告 (2024年1月26日)

ja.darktrace.com

  • 悪用する活動として次の行為を確認したと報告。
    • エクスプロイトの検証活動
    • システム情報の流出
    • AWSからのC2インプラントの配信
    • JavaScriptクレデンシャルステアラーの配信
    • SimpleHelpの使用
    • port53で暗号化されたC2
    • クリプトマイナーの配信
米国CISAの注意喚起(2024年1月31日)
  • 緊急指令であるED24-01の補則指令として、影響を受けるInvanti製品をネットワークから遮断を行うようとするもの。2月2日いっぱいまでに対応を行うよう呼び掛けた。
Mandiant の報告(2024年1月31日)

www.mandiant.com

  • BUSHwalkと呼称されたカスタムWebシェル(Perlベース)がIvantiが回避策として公開を行っていたものをバイパスし展開されていると報告。ただし、公表時点では限定的な悪用であり、セキュリティ情報公開後に大規模に発生した悪用活動とは別という評価を行っている。侵害したホストから任意のファイルを読み取ったり、任意のファイルの書き込みが可能。
  • 先のBUSHwalkとは別に、LIGHTWIREと呼称されたWebシェルについて、亜種を発見したと報告。単純だった難読化の実装が複雑な方法に変更された。
  • CHAINLINEと呼称されたWebシェルについても報告。LIGHTWIREとは異なり、CHAINLINEは新しくファイルを作成する。MandiantはCHAINLINEがUNC5221と関連があると評価。
  • FRAMESTING と呼称されたWebシェルを追加で発見したこと報告。さらにZIPLINEバックドアについても追加の分析を完了したとして詳細について説明している。またWARPWIREも複数の新しい亜種を確認したとしている。
Ivantiの報告(2024年2月1日)
  • 1/31に追加で公表を行った脆弱性2件のうち、SSRFの脆弱性であるCVE-2024-21893について、Ivantiは限定的な悪用を確認したと報告。
Rapid7がCVE-2024-21893のPoCを公開(2024年2月2日)

attackerkb.com

  • CVE-2024-22024を使用して任意のHTTPリクエストを実行させることに成功したとして、PoCを公開。またCVE-2024-21887と組み合わせることで、任意のコード実行が可能であったと実証した。
ShadowServerの報告(2024年2月5日)
  • CVE-2024-21893 を悪用する動きが大量に発生していると分析。実影響を受けるデバイスはどの程度あるかは不明としつつ、インターネットから接続可能なデバイスは約2万2500台存在するとした。
Orange Cyberdefence の報告(2024年2月9日)

Ivanti Connect Secure: Journey to the core of theDSLog backdoor

  • CVE-2024-21893 を悪用したバックドアの設置を確認したと報告。バックドアはDSLogと呼称しているもので、デバイスごとに一位のSHA256のAPIキーが設定されており、コマンド実行もこの情報をHTTPヘッダー(User-Agent)に設定する必要がある。このバックドアの主な機能はRootになり、コマンド実行を行うことを目的としたもの。
  • 攻撃活動を隠ぺいするために、デバイス上の.accessファイルの削除が行われていた。
  • DSLogの侵害を受けているデバイスの約2割はすでに別の攻撃を受けていたとされ、修正バージョンへの更新や回避策の適用が行われていなかったとしている。
watchTowr がPoCを公開 (2024年2月9日)

labs.watchtowr.com

  • CVE-2024-21893を調査している過程で新たな脆弱性(CVE-2024-22024)を発見したとしてPoCを含む技術情報を公開。
Akamai の報告(2024年2月14日)

www.akamai.com

  • CVE-2024-22024の公開を受けて、当該脆弱性を対象としたスキャン活動が活発化していることが確認された。ピークは2月11日で、同日には約24万件のリクエストが3万件のホストを標的に行われていた。
インディケーター情報

関連情報

更新履歴

  • 2024年1月17日 AM 新規作成
  • 2024年1月17日 PM 情報追記(Rapid7の調査報告等、誤解を招く恐れのある表記修正)
  • 2024年1月18日 PM 続報追記(Volexityの観測情報)
  • 2024年2月2日 AM 続報追記(CVE-2024-21893など)
  • 2024年2月18日 AM 続報追記(CVE-2024-22024など)