セキュリティ
2024年1月 セキュリティ情報(Ivanti 社VPN 製品の脆弱性 [CVE-2023-46805]など)
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。
本年も宜しくお願いいたします。
2024年1月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Ivanti 社VPN 製品の脆弱性 [CVE-2023-46805]など)
情報公開日:2024/1/10(現地時間)
| 一次情報元(引用元) |
"Ivanti"CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways "Ivanti"KB CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways |
| その他、情報ソース |
"IPA" Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等)
"JPCERT/CC" Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性(CVE-2023-46805およびCVE-2024-21887)に関する注意喚起 "Cybersecurity Help s.r.o." Multiple vulnerabilities in Ivanti Connect Secure and Ivanti Policy Secure gateways |
| CVE番号及び深刻度 |
CVE番号:CVE-2023-46805 深刻度: CVSSスコア 8.2(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N) CVE番号:CVE-2024-21887 深刻度: CVSSスコア 9,1 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) |
| 脆弱性内容 | Ivanti 社はVPN製品であるIvanti Connect Secure(旧: Pulse Connect Secure)およびIvanti Policy Secureゲートウェイにおける脆弱性に関するアドバイザリを公開。
認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)の脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行する恐れがあり、既に悪用が確認されております。
想定される攻撃手口は、細工したリクエストを対象製品に送信し認証をバイパスした後、細工したデータを使いOSコマンドを実行する形が考えられます。 |
| 想定される影響 |
・認証バイパスによる当該製品経由の不正アクセス ・悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。 |
| 影響を受ける製品 | サポート対象の22系/9系のバージョンの以下製品 ・Ivanti Connect Secure ・Ivanti Policy Secure 既にサポートが終了しているバージョンにおける影響は評価されておりません。 (同社はサポート対象のバージョンへの移行を推奨しております) |
| 解決策 | ・(1/31情報)当該脆弱性に対応したパッチの適用 ⇒詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント | 注目した理由は国内のランサムウェア感染経路で最も多いVPN機器で不正アクセスが可能な脆弱性である点、国内外で当該脆弱性を悪用した攻撃が確認されてる点です。 「その他、情報ソース」のURLリンク先に攻撃を受けたか否かの確認方法や、当該脆弱性を悪用され被害を受けてしまった場合の復旧手順に関する情報リンクが掲載されております。 攻撃を受けたか確認後、すぐにパッチを適用することを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2024/1/3 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。
"Android Security Bulletin--January 2024" https://source.android.com/docs/security/bulletin/2024-01-01 |
| 2024/1/9 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。第三者からの情報公開及び悪用が確認された脆弱性の修正は無かった。
"2024 年 1 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2024-Jan "2024 年 1 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2024/01/202401-security-update/ |
| 2024/1/11 | GitLab | GitLabはGitLab Community Edition(CE)およびEnterprise Edition(EE)向けのセキュリティリリースに関する情報を公開。CVSSスコアが10.0のパスワードリセット脆弱性が修正されている。悪用実証コード(PoC)も公開されているため、早急にUpdateすることを強く推奨する。
"GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6" https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/ |
| 2024/1/16 | Oracle 社複数製品 | Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。
"Oracle Critical Patch Update Advisory - January 2024" https://www.oracle.com/security-alerts/cpujan2024.html |
| 2024/1/16 | Google Chrome | Google 社はPC版のWeb ブラウザ Google Chromeのアップデートを公開。悪用が確認されたスクリプトエンジンV8の脆弱性「CVE-2024-0519」のセキュリティ修正も行っている。
"Stable Channel Update for Desktop (Tuesday, January 16, 2024)" https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html |
| 2024/1/16 | Confluence Data Center および Confluence Server | Atlassian 社は同社製品の同社製品 Confluence Data Center 及び Confluence Serverにて見つかった深刻度が最大10.0の脆弱性「CVE-2023-22527」を公開。
"CVE-2023-22527 - RCE (Remote Code Execution) Vulnerability In Confluence Data Center and Confluence Server" https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html |
| 2024/1/17 | Citrix NetScaler ADC /Citrix NetScaler Gateway | Citrix 社は同社製品NetScaler ADC /Citrix NetScalerのゼロデイ脆弱性「CVE-2023-6548」「CVE-2023-6549」を公開。悪用が確認されているため早急に対応することを強く推奨する。
"NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-6548 and CVE-2023-6549" https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549 |
| 2024/1/17 | Microsoft Edge | Microsoft 社はMicrosoft Edge のセキュリティアップデートを実施。悪用が確認されたスクリプトエンジンV8の脆弱性「CVE-2024-0519」のセキュリティ修正も行っている。
"Release notes for Microsoft Edge Security Updates (January 17, 2024)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#january-17-2024 |
| 2024/1/22 | Apple 社複数製品 | Apple 社は、同社の複数製品のセキュリティUpdate を公開。なお、以下URLに掲載されている製品は悪用された可能性がある脆弱性の修正が行われている。
"About the security content of tvOS 17.3" https://support.apple.com/en-us/HT214055 "About the security content of Safari 17.3" https://support.apple.com/en-us/HT214056 "About the security content of macOS Monterey 12.7.3" https://support.apple.com/en-us/HT214057 "About the security content of macOS Ventura 13.6.4" https://support.apple.com/en-us/HT214058 "About the security content of iOS 17.3 and iPadOS 17.3" https://support.apple.com/en-us/HT214059 "About the security content of macOS Sonoma 14.3" https://support.apple.com/en-us/HT214061 "About the security content of iOS 15.8.1 and iPadOS 15.8.1" https://support.apple.com/en-us/HT214062 "About the security content of iOS 16.7.5 and iPadOS 16.7.5" https://support.apple.com/en-us/HT214063 |
| 2024/1/23 | Mozilla Firefox 各製品/Thunderbird | Mozilla 社はFirefox /Firefox ESR /Thunderbird のセキュリティアップデートを公開。影響度は全て「high」に設定されており、悪用が行えた可能性がある脆弱性も修正している。
"Mozilla Foundation Security Advisory 2024-01 Security Vulnerabilities fixed in Firefox 122" https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/ "Mozilla Foundation Security Advisory 2024-02 Security Vulnerabilities fixed in Firefox ESR 115.7" https://www.mozilla.org/en-US/security/advisories/mfsa2024-02/ "Mozilla Foundation Security Advisory 2024-04 Security Vulnerabilities fixed in Thunderbird 115.7" https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/ |
注目したインシデント
2023年12月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織の業種 | インシデント内容 | 情報/コメント |
| 2023/12/26 | 大学 | アクセス権限不備による個人情報公開 | 教育用ファイルサーバにて教員がアクセス権限を誤ったために当該インシデントが発生。なお情報はインターネット上ではなく同大学内のネットワークでのみ閲覧可能な状態であった。 |
| 2023/12/27 | 地方自治体 | ノーウェアランサムによる情報流出 | 委託先の事業者が使用しているストレージサービスが不正アクセスに遭い、ノーウェアランサム(データ暗号化せずに窃取し、情報公開をしないことを条件に身代金を要求する攻撃)によるインシデントが発生した。 |
| 2024/1/4 | 演奏団体 | 不正アクセスによるWeb改ざん/迷惑メール送信 | メールマガジン配信システムの脆弱性を突かれ不正アクセスが発生。その後、1/6に被害情報を更新。メールマガジンに登録したお客様のメールアドレス及び氏名情報も窃取されていたとのこと。 |
| 2024/1/9 | 大学 | 統合データベースへの不正ログインによるデータ改ざん | 不正ログインは海外から行われ、不正ログインされたユーザのパスワードとリマインダ情報が変更されていたとのこと。同大学はリスト型攻撃による可能性があるとコメントしている。 |
| 2024/1/9 | 鋳造・鉄鋼 | ランサムウェアによるデータの一部暗号化 | 不正アクセスは業務利用していないPCにインストールされていたリモートデスクトップツール経由で行われたとのこと。なお、暗号化されたデータはバックアップデータにより復旧している。 |
| 2024/1/10 | 科学 | ランサムウェアによるデータ暗号化 | 同社の一部サーバ内にあるファイルが暗号化されたことを公表。侵入経路などは未公開。なお、本インシデントによる業績影響についても精査中とコメントしている。 |
| 2024/1/10(第三報) | 半導体・電子機器 | 不正アクセスによるシステム障害及び情報漏えい | VPNを経由し複数サーバに不正アクセスされた事実が確認されたことを公表。なお、情報漏えいしたと思われるデータの確認作業は継続中とのこと。 |
| 2024/1/15 | 化粧品 | ECサイトでのクレジットカード不正利用 | 同社ECサイトでクレジットカードの不正利用が多発したため、しばらくの間クレジットカード決済サービスによるお支払選択を制限することを発表。 |
| 2024/1/16 | 書店 | ECサイトでのクレジットカード不正利用 | 同社ECサイトでクレジットカードの不正利用が多発したため、取引一時停止。なお、会員情報およびクレジットカード情報が当サイトから漏洩した事実は確認できていないとコメントしている。 |
| 2024/1/17 | 家電量販店 | 通販サイトへの不正ログイン/なりすまし注文 | なりすまし注文は不正ログイン後、登録情報を書き換え、不正なクレジットカード情報で注文が行われていたとのこと。なお、同社通販サイトではクレジットカード情報は保持していないとのこと。 |
| 2024/1/19 | 繊維 | ランサムウェアによるデータ/ソフトの暗号化 | サーバに保存している各種業務データや業務用ソフトウェアが暗号化され、アクセス不能な状況となったことを公表。なお、詳細については調査中とのこと。 |
| 2024/1/19(最終報) | 農業支援/販売 | ランサムウェアによるデータの暗号化 | 調査したところ、初期侵入後、VPNクライアントアプリ経由で関連システムにアクセスし、adminパスワードを破り複数台のサーバに攻撃していたとのことが判明。なお、データ流出については極めて低いとコメントしている。 |
| 2024/1/26 | サービス業 | 不正アクセスによるシステム障害 | 障害復旧後に調査した結果、サーバ2台のパスワード改ざん及び不正なファイル生成が行われていたことが判明したとコメントしている。 |
