CVE-2023-46805 and CVE-2024-21887 Detection: Chinese Threat Actors Exploit Zero-Day Vulnerabilities in Invanti Connect Secure and Policy Secure Instances

外部に接するシステムに影響を及ぼす重大なゼロデイ脆弱性が、RCEやシステムの危殆化のリスクにさらされ、それらに依存する複数の組織に深刻な脅威をもたらしています。これは、 FortiOS SSL-VPN の欠陥が2023年1月に大混乱を引き起こしたことに似ています。最近、中国の国家支援ハッキンググループが、Ivanti Connect Secure (ICS) および Policy Secure アプライアンスでCVE-2023-46805とCVE-2024-21887として追跡された2つのゼロデイ脆弱性を悪用していることが観察されています。検出された欠陥は攻撃者によって武器化され、インターネット上で影響を受けたインスタンスを乗っ取ることを可能にするエクスプロイトチェーンを作成するために利用される可能性があります。脆弱性のパッチは2024年1月22日の週に順次展開が開始されることが期待されています。

CVE-2023-46805とCVE-2024-21887の潜在的エクスプロイトチェーンを検出する

脆弱性の悪用は国家支援アクターの主な侵入ベクトルの一つであり、過去10年間で脆弱なアプリケーションの数は急増しています。2024年1月第1週時点で、セキュリティ専門家は 600以上の新たなセキュリティ欠陥を明らかにし、2023年には29,000以上の年次合計に寄与しました。

新たに出現する脅威に先立ち、サイバー攻撃をその発展の初期段階で発見するためには、サイバー防衛者は革新的な脅威ハンティングツールと信頼できる検出コンテンツのソースを必要とします。SOC Prime Platformは集団的サイバー防衛のために11,000以上の挙動ベースのSigmaルールを集約し、監視中に脅威が見逃されることを防ぎます。以下の 検出を探す ボタンを押して、CVE-2023-46805およびCVE-2024-21887のエクスプロイト検出を目的としたルール一覧に進んでください。

検出を探す

すべてのルールは28のSIEM、EDR、XDR、およびData Lakeソリューションと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。さらに、検出情報はCTIリンク、メディア参照、トリアージ推奨事項などの詳細なメタデータで強化されています。

CVE-2023-46805とCVE-2024-21887の分析

Ivantiの研究者は最近、CVE-2023-46805とCVE-2024-21887として追跡される2つのゼロデイ脆弱性を特定し、懸念を提起しました。これらは現在、中国に連なった国家支援アクターによって活発に悪用されています。これらのセキュリティバグは、Ivanti Connect Secure (ICS) とIvanti Policy Secureゲートウェイに影響を及ぼします。すべてのソフトウェアバージョン、バージョン9.xおよび22.xを含み、影響を受けます。

CVE-2023-46805は、CVSS評価が8.2の認証バイパス欠陥であり、敵対者が制御チェックを回避して制限された素材にリモートアクセスすることを許可します。 CVE-2024-21887は、CVSSスケールで9.1と評価される重大なコマンドインジェクション脆弱性であり、認証された管理者が特定のリクエストを送信し、影響を受けたデバイス上で任意のコマンドを実行することを可能にします。両方の脆弱性は共に組み合わされて、攻撃者が危殆化したデバイスを支配することを可能にします。

2023年12月に、 Volexityの研究者 は、Ivanti Connect Secure VPNアプライアンスでCVE-2023-46805およびCVE-2024-21887の野外悪用を含む疑わしい活動を最初に検出しました。研究者は発見された敵対者の活動をUTA0178として追跡されているハッキンググループにリンクしています。成功した悪用により攻撃者が配置データに到達し、既存のファイルを変更し、ファイルをリモートで取得し、ICS VPNアプライアンスからのリバーストンネルを確立してさらにシステムを危殆化させることが可能となります。

継続中の攻撃には偵察、横方向移動、およびGLASSTOKENというカスタムウェブシェルの使用が含まれます。後者は公開されているサーバーに対する永続的なリモートアクセスを確保するために侵害されたCGIファイルを通じて展開されます。特に、疑われる国家支援の敵対者は、少なくとも5つの異なるマルウェアファミリーをその後の悪用活動に展開しました。

野外でのIvanti VPNゼロデイの積極的な悪用のリスクの高まりに伴い、CISAは既知の悪用脆弱性カタログに欠陥を追加し、最近、 専用の警告 を発行して、サイバーセキュリティ意識を高めました。

リスクの高まりに対応して、Ivantiはパッチが進行中である間に脆弱性の詳細および潜在的な緩和策をカバーする セキュリティ勧告 を発行しました。一方で、Ivantiユーザーは潜在的な脅威に対する予防策としてワークアラウンドを実施するよう助言されています。ICS VPNアプライアンスを利用する組織は、多層のセキュリティ戦術でネットワークテレメトリーや内部統合チェッカーツールの結果を徹底的に検査し、成功した危殆化の可能性をタイムリーに識別することを強く推奨されます。

特にVPNアプライアンスやファイアウォールのような重要なデバイスがインターネットに露出するシステムとして、ハッカーにとって非常に魅力的な標的となるため、防御者は常に警戒を怠らず、こうした攻撃に事前に対応できるようにしなければなりません。中国に支援されたハッカーがIvanti VPNゼロデイを武器化する継続中の野外攻撃と共に、サイバー抵抗能力を高めることが非常に重要です。防御者は Uncoder AI に依拠して、スケールにおける検出エンジニアリング操作を加速し、ルールコーディング、IOCマッチング、65の言語形式への検出コンテンツのスムーズな翻訳を合理化しながら、ルーチンタスクを自動化し、セキュリティ監視の時間を節約し、ネットワークの抵抗力を向上させることができます。