脅威行為者がIvantiクラウドサービスアプリケーションの脆弱性を連鎖させた
サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)と連邦捜査局(FBI)は、Ivanti Cloud Service Appliances(CSA)における脆弱性の悪用に関する共同サイバーセキュリティアドバイザリを公開しました。脆弱性には、CVE-2024-8963、CVE-2024-8190、CVE-2024-9379、およびCVE-2024-9380が含まれます。これらの脆弱性は、2024年9月に悪用され、脅威行為者が初期アクセスを取得し、リモートコード実行を実行し、資格情報を取得し、被害者のネットワークにWebシェルをインストールすることができました。脅威行為者は、2つの主なエクスプロイトパスを使用してアクセスを取得しました。1つはCVE-2024-8963とCVE-2024-8190およびCVE-2024-9380を利用し、もう1つはCVE-2024-8963とCVE-2024-9379を利用しました。脆弱性は、Ivanti CSAバージョン4.6xのバージョン519以前、およびCSAバージョン5.0.1以下の2つの脆弱性に影響します。Ivanti CSA 4.6はEnd-of-Lifeであり、パッチやサードパーティライブラリを受け取ることはありません。CISAとFBIは、ネットワーク管理者に最新のサポートバージョンにアップグレードすることを強く推奨しています。ネットワーク防御者は、アドバイザリ内の検出方法とコンプロマイズの兆候(IOCs)を使用して、ネットワーク上の悪意のある活動を探すことを奨励されています。影響を受けるIvantiアプライアンス内に保存されている資格情報と機密データは、コンプロマイズされたものと見なされ、組織はログとアーティファクトを収集して分析し、悪意のある活動を検出する必要があります。アドバイザリには、脆弱性に関する技術的な詳細、脅威行為者が使用したMITRE ATT&CKの戦術とテクニックが記載されています。脅威行為者の活動は、3つの被害者組織によって検出され、被害者組織は、仮想マシンをクリーンでアップグレードされたバージョンに置き換えることでインシデントを修復することができました。