Trusted Design

解説:

CVE-2023-46805に関する調査結果を以下に解説します。

1. 脆弱性の概要

1.1 影響

Ivanti Connect Secure (ICS)（旧称 Pulse Connect Secure）および Ivanti Policy Secure ゲートウェイのWebコンポーネントにおける認証バイパスの脆弱性です。この脆弱性を悪用することで、リモートの攻撃者が制御チェックを回避し、制限されたリソースにアクセスできます。

この脆弱性単独でも影響がありますが、特にCVE-2024-21887（コマンドインジェクションの脆弱性）と組み合わせて悪用された場合、認証されていない攻撃者がシステム上で任意のコマンドを実行できるようになり、リモートコード実行 (RCE) につながります。これにより、攻撃者は内部ネットワークへの不正アクセス、権限昇格、機密データの漏洩、デバイスの乗っ取り、サービス拒否（DoS）などのさまざまな悪意のある活動を行うことが可能となります。

1.2 深刻度

CVSS v3の基本評価スコアは「8.2 (High)」です。CVSSベクトルはAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:Nです。

この脆弱性は、CISAの既知の悪用されている脆弱性カタログ (Known Exploited Vulnerabilities Catalog) に追加されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

本脆弱性は特定のOSバージョンに起因するものではなく、Ivanti製品のWebコンポーネントに存在します。

2.2 影響を受ける設定

以下のIvanti製品のすべてのサポート対象バージョン（9.xおよび22.x）が影響を受けます。 * Ivanti Connect Secure (ICS) （旧称 Pulse Connect Secure） * Ivanti Policy Secure ゲートウェイ * Ivanti Neurons for ZTA ゲートウェイ（ZTAコントローラーに接続されていない場合に悪用のリスクがあります）

なお、Ivanti Neurons for Secure Access自体は直接脆弱ではありませんが、管理されているゲートウェイは個別に脆弱です。サポートが終了しているバージョンについては、Ivantiは影響の有無を評価しておらず、サポート対象バージョンへの移行を推奨しています。

3. 影響を受けた時の兆候

• 2024年1月16日以降、広範な悪用試行が観測されており、ペイロードを送り込むためのプローブ活動が確認されています。
• 攻撃を受けたデバイスでWebシェル（例：GIFTEDVISITORの亜種）が確認されることがあります。
• システムファイルが改ざんされている可能性があります。
• Ivantiが提供する整合性チェックツール（Integrity Checker Tool, ICT）で不整合が報告される場合があります。
• 攻撃者によって製品上のログが削除されているケースが確認されています。
• 設定情報や資格情報が窃取され、不正なログイン試行が行われる可能性があります。

4. 推奨対策

4.1 本対策

Ivantiが提供する公式の修正パッチを速やかに適用してください。2024年2月16日現在、サポートされているすべてのバージョン向けに修正パッチが提供されています。

4.2 暫定回避策（緩和策）

• IvantiはXMLファイルをインポートする形式の緩和策を提供しています。修正パッチをすぐに適用できない場合は、この緩和策を適用することを検討してください。ただし、この緩和策は将来の悪用を防ぐものであり、既に侵害されたデバイスを修復するものではありません。
• 侵害が疑われる場合は、既存の構成をバックアップし、出荷時設定にリセットした後、最新のイメージから完全に再構築し、その後パッチを適用することが推奨されます。
• Ivantiが提供する整合性チェックツール（内部チェックツールおよび外部チェックツール）を実行し、侵害の有無を確認してください。拡張版の外部チェックツールは、デバイスの復号化されたスナップショットを取得できます。
• 製品上のログが削除されている可能性があるため、周辺機器のログも調査し、侵害の痕跡を確認することが推奨されます。
• 資格情報が窃取された可能性がある場合は、関連する資格情報を変更し、不正なログインがないかを監視してください。
• ゼロトラストアプローチの採用も長期的なセキュリティ強化に有効です。

他に解説すべき観点

• 複合的な悪用: 本脆弱性（CVE-2023-46805）は、コマンドインジェクションの脆弱性であるCVE-2024-21887と組み合わせて悪用されることが非常に多いです。
• ゼロデイ攻撃: 2023年12月にはすでに活発な悪用が観測されていました。
• PoCの公開と攻撃の拡大: 2024年1月16日には概念実証（PoC）コードが公開され、その後、悪用が世界的に急増しました。
• 攻撃者の特徴: 一部の攻撃活動は、中国を拠点とするAPTグループの戦術、技術、手順と一致していると指摘されています。
• ランサムウェアキャンペーン: 本脆弱性がランサムウェアキャンペーンの一部として利用された事例も報告されています。

参照したサイト

• CVE-2023-46805 (Authentication Bypass) & CVE-2024-21887 (Command Injection) for Ivanti Connect Secure and Ivanti Policy Secure Gateways
• CVE-2023-46805 Detail - NVD
• Exploitation Observed: Ivanti Connect Secure — CVE-2023-46805 and CVE-2024-21887 - Volexity
• 【脅威分析レポート】Ivanti Connect SecureのVPNにおける脆弱性を突いたゼロデイ攻撃 | Cybereason BLOG
• CVE-2023-46805 : An authentication bypass vulnerability in the web component of Ivanti ICS 9.x, 2 - CVE Details
• Ivanti製VPNデバイスのゼロデイ脆弱性（CVE-2023-46805, CVE-2024-21887）の脅威からネットワークを守る｜トレンドマイクロ
• Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）に関する注意喚起 - JPCERT/CC
• Ivanti Connect Secure、Ivanti Policy Secureの脆弱性 CVE-2023-46805およびCVE-2024-21887 等についてまとめてみた - piyolog
• Threat Brief: Multiple Ivanti Vulnerabilities (Updated Feb. 29) - Palo Alto Networks Unit 42
• CVE-2023-46805.yaml - nuclei-templates - GitHub
• Ivanti Connectセキュアおよびポリシーセキュア攻撃 | アウトブレイクアラート - FortiGuard Labs
• Ivanti Connect Secure（旧Pulse Connect Secure）および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等) | 情報セキュリティ - IPA
• JVNVU#92420039 Ivanti製Connect SecureおよびPolicy Secureにおける複数の脆弱性 緊急 - JVN iPedia
• CVE-2023-46805 and CVE-2024-21887 Detection: Chinese Threat Actors Exploit Zero-Day Vulnerabilities in Invanti Connect Secure and Policy Secure Instances | SOC Prime
• 2024年1月 セキュリティ情報(Ivanti 社VPN 製品の脆弱性 [CVE-2023-46805]など) - 4QUALIA
• VPNソリューション「Ivanti Connect Secure」などにゼロデイ脆弱性 ～緩和策の実施を - 窓の杜