Ivanti Connect Secure および Policy Secure に複数の脆弱性

1. 概要
Ivanti 社の Connect Secure および Policy Secure は、SSL VPN ソリューションおよび IPS ソリューションであり、これらのプラットフォームで最近発見された CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、および CVE-2024-21893 について分析しました。

2. 攻撃タイプ
2024年1月、Ivanti社はConnect SecureおよびPolicy Secureソリューションで発見された脆弱性に対するパッチをリリースした。

1月10日にリリースされた最初のパッチは、CVE-2023-46805とCVE-2024-21887の2つの脆弱性を修正したもので、認証プロセスをバイパスして管理者権限を取得し、Webシェルをアップロードして任意のコマンドを実行するために使用されました。

1) CVE-2023-46805
この脆弱性は、Ivanti Connect Secure および Ivant Policy Secure ソリューションにおける認証バイパスの脆弱性であり、特定の API が ./ 構文を使用することで認証プロセスをバイパスし、システムの管理機能へのアクセスと実行を許してしまいます。

Rapid7 の分析レポートによると、内部の Python REST サービスは、/api/v1/totp/user-backup-code で始まる API が認証の対象外であることを利用して、./ 構文でアクセスすることができる。

2) CVE-2024-21887
この脆弱性は、Ivanti Connect Secure および Ivant Policy Secure ソリューションにおける RCE の脆弱性であり、認証済みの攻撃者が任意のコマンドを注入したリクエストを送信することで、メモリのダンプやバックアップファイルの乗っ取りなどを行うことが可能です。

本脆弱性は、CVE-2023-46805 と合わせて、認証済みの攻撃者が認証プロセスをバイパスして、コマンドインジェクションが可能な Python REST API license/keys-status/, /system/maintenance/archiving/cloud-server-test-connection API にアクセスし、Python の悪意のあるコードを送信してアーム内でコマンドを実行させる可能性があります。

3) CVE-2024-21888
1月31日、さらに2つの脆弱性にパッチを当てた： CVE-2024-21888 は一般ユーザを管理者権限に昇格させる権限昇格の脆弱性、CVE-2024-21893 は SAML リクエストを処理するサービスに SSRF の脆弱性です。

このうち、CVE-2024-21888は、Ivanti Connect SecureおよびIvant Policy Secureのソリューションで発生したWebコンポーネントにおける特権昇格の脆弱性で、一般ユーザが管理者に昇格される可能性があるが、現在までに攻撃が報告されていないため、脆弱性の詳細は公表されていない。

4) CVE-2024-21893
これは、Ivanti Connect Secure および Ivant Policy Secure ソリューションにおける SSRF 脆弱性で、これらのソリューション内で SOAP ベースの SAML リクエストを処理するサービスの一部のエンドポイントには認証プロセスがないため、細工した XML データをこれらのエンドポイントに送信することで SSRF 攻撃を行うことが可能です。

Rapid7 によると、SOAP ベースの SAML リクエストを処理するサービスのエンドポイントは、/dana-ws/saml.ws``/dana-ws/saml20.ws``/dana-ws/samlecp.ws であり、このうち /dana-ws/saml20.ws エンドポイントには認証プロセスがないため、SSRF 攻撃を許してしまう。

3. 対策
Ivanti 社は、これらの脆弱性に対するパッチをリリースしているため、Ivanti Connect Secure および Ivanti Policy Secure ソリューションを EOL を過ぎていない最新バージョンに更新することで対応することができます。

CVE-2023-46805およびCVE-2024-21887については、弊社のAIWAF製品が、「Directory Access Detection」ポリシーおよび「Command Injection 1」パターンで、また、CVE-2024-21893については、2024年2月のパターンアップデートに含まれる「Ivanti Connect Secure and Policy Secure SSRF」パターンで、これらの脆弱性を悪用する攻撃構文を検出しています。

CVE-2024-21888 については、攻撃に関する情報がまだ公開されていないため、監視を継続しています。

4. 結論
最近、Ivanti 社の製品やソリューションに対して様々な脆弱性が発見・報告されており、その ほとんどが容易に悪用可能なものであるため、早急に最新版へのアップデートが必要である。

弊社AIWAF製品では、Ivanti Connect Secure、Policy Secureの脆弱性に対するパターンを策定しており、今後も関連する脆弱性が発見された場合には、迅速に対応してまいります。

5. 参考資料

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-46805
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21887
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21888
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21893
• https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
• https://knvd.krcert.or.kr/detailSecNo.do?IDX=6074
• https://www.rapid7.com/db/modules/exploit/linux/http/ivanti_connect_secure_rce_cve_2023_46805/
• https://attackerkb.com/topics/AdUh6by52K/cve-2023-46805/rapid7-analysis
• https://attackerkb.com/topics/FGlK1TVnB2/cve-2024-21893/rapid7-analysis