【PSA(PulseSecure) Ivanti Connect Secure】脆弱性 CVE-2023-46805、CVE-2024-21887 対策 追加情報 (CVE-2024-22024)

連絡
お知らせ管理番号:
0000004327
公開日:
2024年2月13日

お客様各位

拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。

深刻な脆弱性【重要】CVE-2023-46805、CVE-2024-21887 についての恒久対策版のファームウェアに該当する脆弱性が確認されたとIvanti社より報告がありました。

この脆弱性はIvanti社によるコードの内部レビューとテストによって発見され、現時点で悪用されたという情報はございません。

・CVE-2024-22024(CVSSスコア8.3)
Ivanti Connect Secure (9.x、22.x)、Ivanti Policy Secure (9.x、22.x)、およびZTAゲートウェイのSAMLコンポーネントにおける
XML外部エンティティまたはXXEの脆弱性により、攻撃者は認証なしで特定の制限されたリソースにアクセスできます。


■影響バージョン
CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893の恒久対策版となるファームウェアバージョンが、本脆弱性(CVE-2024-22024)の影響バージョンとなります。
9.1R14.4
9.1R17.2
9.1R18.3
22.4R2.2
22.5R1.1

■対策バージョン
9.1R14.5
9.1R17.3
9.1R18.4
22.4R2.3
22.5R1.2
22.5R2.3
22.6R2.2

※以前のご案内を受け取ったお客様へ※
・上記影響バージョンにアップグレードした機器を、本脆弱性の恒久対策バージョンへ
 再度アップグレードいただけますようお願いします。
・前回2/2(金)に公開した上述影響バージョンへアップグレードの際にファクトリーリセットを
 実施済みの機器に対しては、再度ファクトリーリセットを行う必要はございません。
・現在アップグレードを計画中の場合、ターゲットバージョンを本脆弱性の恒久対策バージョンへ変更してください。


上記の対策バージョンはこれまでにご案内しました、下記4つの脆弱性に対策済みとなります。
・CVE-2024-21887(CVSSスコア9.1):Web コンポーネントにコマンド インジェクションの脆弱性
・CVE-2023-46805(CVSSスコア8.2):Web コンポーネントに認証バイパスの脆弱性
・CVE-2024-21888(CVSSスコア8.8):Web コンポーネントに権限昇格の脆弱性
・CVE-2024-21893(CVSSスコア8.2):SAML コンポーネントにサーバー側のリクエスト フォージェリの脆弱性
https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP30F0101S01P&oshiraseNo=0000004302&book=dace4dba-eb2e-49a2-8e86-85ce52e415c7

 

 

ただちに対策バージョンへのアップグレードが難しい場合、暫定対策用XMLの適用をご検討ください。
CVE-2023-46805、CVE-2024-21887、CVE-2024-21888、CVE-2024-21893に対する
暫定対策用XML(mitigation.release.20240126.5.xml)は、本脆弱性(CVE-2024-22024)に対しても有効となります。
こちらの暫定対策用XMLファイルを適用すると前回のXMLファイルであった制限に加え
SAML通信・SAML認証が使用できない制限がございます。

暫定対策用XMLは緩和策であるため、既に適用いただいているお客様につきましても恒久対策は必須となります。
可能な限り早急に対策済みファームウェアバージョンへのバージョンアップの実施をお願いいたします。


■ XMLファイルおよび恒久対策バージョンの入手および適用方法
弊社営業・エンジニアまたは、たよれーるコンタクトセンターへご相談ください。


■ メーカページ
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US

 

なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。

サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。

以上、宜しくお願いいたします。