お客様各位
拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。
■概要
米国時間の2024年12月10日、 Ivanti Connect Secure (ICS)、Ivanti Policy Secure (IPS)において脆弱性リスト(最大CVSSスコア9.1)がIvanti社より公開されました。
開示された時点で、これらの脆弱性が悪用されたという報告はございません。
■緊急の脆弱性
●CVE-2024-11633(CVSSスコア9.1)
対象バージョン:ICS 22.7R2.4 未満、9.1Rxのバージョン
影響:引数挿入により、管理者権限で認証された攻撃者がPulseSecureの管理画面から悪意のあるコードを実行される可能性があります。
回避策:管理画面へのアクセス制限
●CVE-2024-11634(CVSSスコア9.1)
対象バージョン:ICS 22.7 R2.3 未満、IPS 22.7R1.2 未満 ※9.1Rxのバージョンは影響なし
影響:コマンド インジェクションにより、管理者権限で認証された攻撃者がPulseSecureの管理画面から悪意のあるコードを実行される可能性があります。
回避策:管理画面へのアクセス制限
■重要な脆弱性
●CVE-2024-37377(CVSSスコア7.5)
対象バージョン:ICS 22.7R2.3 未満、9.1Rxのバージョン
影響: IPsec のヒープ領域のバッファオーバーフローにより、インターネットを含むネットワークからPulseSecureにアクセスした攻撃者は認証不要でPulseSecureのサービス停止を引き起こす可能性があります。
回避策:なし
●CVE-2024-37401(CVSSスコア7.5)
対象バージョン:ICS 22.7R2.1 未満、9.1Rxのバージョン
影響:IPsec の領域外読み取りにより、インターネットを含むネットワークからアクセスした攻撃者は
認証不要でPulseSecureのサービス停止を引き起こす可能性があります。
回避策:なし
●CVE-2024-9844(CVSSスコア7.1)
対象バージョン:ICS 22.6R4 未満、9.1Rxのバージョン
影響:Secure Application Manager のサーバ側の制御が不十分なため、インターネットを含むネットワークから
PulseSecureにアクセスし、ユーザ権限を持つ攻撃者がRestriction設定を回避する可能性があります。
回避策:なし(簡単に攻撃者が認証されないように多要素認証やHostCheckerなどを設定する)
■ メーカページ
https://forums.ivanti.com/s/article/December-2024-Security-Advisory-Ivanti-Connect-Secure-ICS-and-Ivanti-Policy-Secure-IPS-Multiple-CVEs?language=en_US
ご不明な点、お問い合わせに関してはPulseSecureサポート担当までお問い合わせ下さい。
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。
サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。
以上、宜しくお願いいたします。
