情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 重要なセキュリティ情報
  4. 2023年度
  5. Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等)

Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways の脆弱性対策について(CVE-2023-46805 等)

最終更新日:2024年2月16日

注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Ivanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secure Gateways は VPN 製品です。

これらの製品において、任意のコマンド実行の脆弱性 (CVE-2024-21887) や、認証のバイパスが可能となる脆弱性 (CVE-2023-46805) が確認されています。

--- 2024 年 2 月 1 日更新 ---
さらに、権限昇格の脆弱性 (CVE-2024-21888) や、サーバー側のリクエストフォージェリの脆弱性 (CVE-2024-21893) が新たに確認されています。

--- 2024 年 2 月 9 日更新 ---
SAML コンポーネントにおいて、XML 外部実体参照 (XXE) の脆弱性 (CVE-2024-22024) が新たに確認されています。
これらの脆弱性が悪用されると、認証されていない遠隔の第三者によって任意のコマンドを実行等をされる可能性があります。

--- 2024 年 2 月 16 日更新 ---
2024年 2 月 16 日現在、製品開発者からサポートされているすべてのバージョン向けに修正パッチが提供されています。
製品開発者が公表している手順に従い、パッチを適用することを推奨いたします。

--- 2024 年 1 月 15 日更新 ---
本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大する可能性があるため、対策の実施についてご検討ください。

影響を受けるシステム

  • Ivanti Connect Secure
  • Ivanti Policy Secure
  • Ivanti Neurons for ZTA

サポート対象の 22 系や 9 系のバージョンが影響を受けるとのことです。
すでにサポートが終了しているバージョンにおける影響は評価されておらず、製品開発者はサポート対象のバージョンへの移行を推奨しています。

対策

1.脆弱性の解消 - 修正プログラムの適用

--- 2024 年 2 月 16 日更新 ---
開発者が提供する情報をもとに、修正パッチを適用してください。開発者は、下記のバージョンにおいて本脆弱性を修正したパッチをリリースしています。
詳細は Ivanti が提供する最新の情報をご確認ください。

  • Ivanti Connect Secure 9.1R14.5
  • Ivanti Connect Secure 9.1R15.3
  • Ivanti Connect Secure 9.1R16.3
  • Ivanti Connect Secure 9.1R17.3
  • Ivanti Connect Secure 9.1R18.4
  • Ivanti Connect Secure 22.1R6.1
  • Ivanti Connect Secure 22.2R4.1
  • Ivanti Connect Secure 22.3R1.1
  • Ivanti Connect Secure 22.4R1.1
  • Ivanti Connect Secure 22.4R2.3
  • Ivanti Connect Secure 22.5R1.2
  • Ivanti Connect Secure 22.5R2.3
  • Ivanti Connect Secure 22.6R2.2
  • Ivanti Policy Secure 9.1R16.3
  • Ivanti Policy Secure 9.1R17.3
  • Ivanti Policy Secure 9.1R18.4
  • Ivanti Policy Secure 22.4R1.1
  • Ivanti Policy Secure 22.5R1.2
  • Ivanti Policy Secure 22.6R1.1
  • Ivanti Neurons for ZTA 22.5R1.6
  • Ivanti Neurons for ZTA 22.6R1.5
  • Ivanti Neurons for ZTA 22.6R1.7

2.脆弱性の暫定的な緩和策

--- 2024 年 2 月 1 日更新 ---
製品開発者が公表している手順に従い、すぐに修正プログラムの適用ができない場合、緩和策の適用を実施してください。
詳細の内容や実施手順については、下記リンクよりご確認ください。

3.推奨対応

脆弱性を悪用されて機器が侵害された可能性を調べる方法については、Ivanti が提供するアドバイザリなどの最新の情報をご確認ください。
本情報を発行時点では、Ivanti が提供する整合性チェックツール(Integrity Checker Tool)の実行が推奨されています。

--- 2024 年 1 月 17 日更新 ---
Ivanti より、脆弱性を悪用されて、被害を受けてしまっている場合の復旧手順に関する情報が公開されています。
Ivanti が提供する最新の情報をご確認の上、調査や対応を行ってください。

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

注釈:個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

関連リンク

更新履歴

  • 2024年2月16日

    概要、および対策(脆弱性の解消)の内容を更新

  • 2024年2月9日

    概要、および対策(脆弱性の解消)の内容を更新

  • 2024年2月1日

    概要、影響を受けるシステム、および対策(脆弱性の解消、脆弱性の暫定的な緩和策)の内容を更新

  • 2024年1月17日

    対策(推奨対応)の内容を更新

  • 2024年1月15日

    国内での攻撃が観測されたため、内容を更新

  • 2024年1月11日

    掲載