米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月19日(米国時間)、「CISA Issues Emergency Directive Requiring Federal Agencies to Mitigate Ivanti Connect Secure and Policy Secure Vulnerabilities|CISA」において、米連邦政府機関に、IvantiのVPN製品「Ivanti Connect Secure」および「Policy Secure」の脆弱性に対する軽減処置を実施するよう求める緊急指令を発行した。これは、サイバー攻撃者により、脆弱性の積極的かつ広範囲の悪用が観察されたことを受けての処置となる。
緊急指令対象の脆弱性の概要
軽減処置を求められた脆弱性について、本誌は2024年1月16日、「IvantiのVPN製品に緊急の脆弱性、国内でも攻撃への悪用を確認か | TECH+(テックプラス)」において報じている。対象となる脆弱性は「CVE-2023-46805」と「CVE-2024-21887」で、これらが悪用されると認証がバイパスされ、コマンドインジェクションにより任意のコマンドを実行される可能性がある。
CISA長官はこれら脆弱性は重大かつ容認できないリスクをもたらすとして、利用者に警告している。この緊急指令は連邦政府機関を拘束するものだが、このリスクは当該製品を使用しているすべての組織に影響するとして、すべての組織に対してこの指令に記載している軽減策を講じることを強く求めている。
軽減策
軽減策は発行された緊急指令「ED 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities | CISA」に記載されている。その概要は次のとおり。
- 遅くとも2024年1月22日23時59分(米国東部標準時)までに、Ivantiのポータルサイト経由で「mitigation.release.20240107.1.xml」をダウンロードし、影響を受ける製品にインポートする。このファイルをインポートすると、多くの製品管理機能に影響し、機能の低下を招く可能性があることに注意。この作業を実施する場合はサービス停止を回避するために、Ivantiの指示に注意深く従う必要がある(参考:「Recovery Steps Related to CVE-2023-46805 and CVE-2024-21887」)。
- XMLをインポートした直後に、Ivantiの「整合性チェックツール(Integrity Checker Tool)」をダウンロードして実行する(参考:「KB44859 - How to Use the In-Build Integrity Check Tool」)。影響を受ける製品の新しいバージョンには整合性チェックツールが含まれているが、新しくダウンロードして実行する必要がある点に注意。このツールを実行すると、影響を受ける製品は再起動される。
- 侵害の兆候が検出された場合は該当機器をネットワークから切断する。その後、インシデント分析を開始する。フォレンジックハードドライブイメージの作成により侵害されたデバイスのデータを保存し、侵害の兆候を追跡する。
- 侵害された製品を復旧するには、侵害された製品を工場出荷時のデフォルト設定に戻し、Ivantiのポータルサイト経由で「mitigation.release.20240107.1.xml」をダウンロードしてインポートする。この作業はIvantiの指示に注意深く従う必要がある。
軽減策を実施する場合、CISAが公表した緊急指令に基づいて実施することが推奨されている。また、侵害された製品を完全に復旧してサービスを再開するには、Ivantiの指示に従い追加の作業を実施することが望まれている。