独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月11日、Ivanti Connect Secure および Ivanti Policy Secure Gateways の脆弱性対策について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Ivanti Connect Secure (ICS)(旧名称 Pulse Connect Secure)
Ivanti Policy Secure
※バージョン9系および22系のすべてのサポートバージョン
Ivantiが提供するIvanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secureには、不適切な認証(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の脆弱性が存在し、2つの脆弱性を組み合わせて悪用された場合、遠隔の第三者によって認証不要で当該システム上で任意のコマンドを実行される可能性がある。
JVNによると、本脆弱性を悪用した攻撃が既に確認されており、開発者が提供する整合性チェックツール(IntegrityChecker Tool)を実行することで、機器が侵害された可能性について調べることができる。
Ivanti では、ワークアラウンドの適用を推奨している。また、本脆弱性に対するパッチは1月22日の週より2月12日の週にかけて段階的に提供予定。
Ivanti Connect Secure (ICS)(旧名称 Pulse Connect Secure)
Ivanti Policy Secure
※バージョン9系および22系のすべてのサポートバージョン
Ivantiが提供するIvanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secureには、不適切な認証(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の脆弱性が存在し、2つの脆弱性を組み合わせて悪用された場合、遠隔の第三者によって認証不要で当該システム上で任意のコマンドを実行される可能性がある。
JVNによると、本脆弱性を悪用した攻撃が既に確認されており、開発者が提供する整合性チェックツール(IntegrityChecker Tool)を実行することで、機器が侵害された可能性について調べることができる。
Ivanti では、ワークアラウンドの適用を推奨している。また、本脆弱性に対するパッチは1月22日の週より2月12日の週にかけて段階的に提供予定。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)