アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府の民間行政機関に対し、IvantiのVPNアプライアンスをネットワークから切断するよう命じました。この措置は、複数のセキュリティ上の欠陥が複数の脅威アクターによって積極的に悪用されていることに対する懸念に基づくものです。特に、中国の国家支援のサイバー攻撃者であるUNC5221が、Ivanti Connect Secureにおいて少なくとも2つの脆弱性を悪用しているとされています。これらの脆弱性には、認証バイパス(CVE-2023-46895)とコマンドインジェクション(CVE-2024-21887)が含まれます。さらに、Ivantiは、サーバーサイドリクエストフォージェリ(CVE-2024-21893)の脆弱性がゼロデイ攻撃の対象となっていること、およびWebコンポーネントにおける権限昇格の脆弱性(CVE-2024-21888)がまだ攻撃で観察されていないことを発表しました。
CISAの指示により、影響を受けるIvanti Connect SecureおよびIvanti Policy Secure製品を運用している機関は、指定された期限までにこれらの製品をネットワークから切断する必要があります。また、民間企業に対しても、ネットワークを保護するために同様の措置を優先的に取ることが強く推奨されています。CISAは、アプライアンスを再接続する前に、脆弱性を取り除き、攻撃者が残した可能性のあるものを除去するために、アプライアンスを再構築してアップグレードする必要があると指示しています。また、機関は、アプライアンスがコンプロマイズされたと見なし、関連するすべての証明書、鍵、パスワードの無効化と再発行、および二重のパスワードリセットなどの措置を講じる必要があります。
【ニュース解説】
アメリカのサイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦政府の民間行政機関に対して、Ivanti製のVPNアプライアンスをネットワークから切断するよう命じました。この措置は、IvantiのVPNアプライアンスに存在する複数のセキュリティ上の欠陥が、特に中国の国家支援を受けたサイバー攻撃者によって積極的に悪用されていることに対する反応です。
この問題の根底にあるのは、Ivanti Connect SecureとIvanti Policy Secureという製品に見つかった脆弱性です。これらの脆弱性を通じて、攻撃者は認証を回避したり、システムに不正なコマンドを注入したりすることが可能になります。これにより、攻撃者は機密情報へのアクセスや、ネットワーク内でのさらなる悪意ある活動を行うことができるようになります。
CISAの指示により、影響を受ける製品を使用している機関は、指定された期限内にこれらの製品をネットワークから切断し、再構築およびアップグレードを行う必要があります。このプロセスには、脆弱性を取り除くだけでなく、攻撃者が残した可能性のあるバックドアやその他の悪意あるコードを除去する作業が含まれます。
このような措置を取ることの重要性は、攻撃者による潜在的なアクセス権の獲得や、機密情報の漏洩、さらにはネットワーク全体のセキュリティが脅かされるリスクを最小限に抑えるためです。また、再接続の際には、証明書や鍵、パスワードの無効化と再発行、さらには二重のパスワードリセットなど、徹底したセキュリティ対策が求められます。
この事件は、VPNアプライアンスなどのセキュリティ製品が、その性質上、組織のネットワークとインターネットとの間に位置するため、特に高いレベルのセキュリティが求められることを浮き彫りにしています。また、国家支援を受けたサイバー攻撃者による脅威が増加している現代において、セキュリティ対策の重要性が再確認される出来事となりました。
長期的な視点では、このようなセキュリティ上の脅威に対処するためには、定期的なセキュリティ評価とアップデートの実施、脆弱性の迅速な修正、そしてセキュリティ意識の高い文化の醸成が不可欠です。また、政府機関だけでなく、民間企業においても同様のセキュリティ対策を講じることが強く推奨されます。
from CISA Orders Ivanti VPN Appliances Disconnected: What to Do.
