お客様各位
拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。
Ivanti Pulse Secure(旧PulseSecure)製品に影響のある(重要度:緊急を含む)複数の脆弱性が確認されました。
いずれの脆弱性も下記のバージョンによって対策が実装済みとなります
■ 対象脆弱性(緊急)
- CVE-2024-38656(CVEスコア 9.1)
対象バージョン:ICS 22.7R2.2未満 、 9.1R18.9 未満、IPS 22.7R1.2 未満
影響:管理者権限で認証された攻撃者がインターネットを含むネットワークから悪意のあるコードを実行される可能性があります。
- CVE-2024-39710(CVEスコア 9.1)
対象バージョン:ICS 22.7R2未満、 9.1R18.7 未満、IPS 22.7R1.1 未満
影響:管理者権限で認証された攻撃者がインターネットを含むネットワークから悪意のあるコードを実行される可能性があります。
- CVE-2024-39711、CVE-2024-39712(CVEスコア 9.1)
対象バージョン:ICS 22.7R2.1未満、 9.1R18.7 未満、IPS 22.7R1.1 未満
影響:管理者権限で認証された攻撃者がインターネットを含むネットワークから悪意のあるコードを実行される可能性があります。
- ISAシリーズでは上記の脆弱性の他に
2件の<重要度:緊急>
8件の<重要度:重要>
2件の<重要度:警告>の脆弱性が報告されています。
※この脆弱性が開示された時点で、この脆弱性を悪用された顧客は確認されていません。
<以降はクライアントソフトのISACが該当>
■ 対象脆弱性(重要)
- CVE-2024-7571(CVEスコア7.8)
対象バージョン:ISAC 22.7R4 未満
影響:ISACの権限が正しくないため、クライアントマシンのローカルで認証された攻撃者が権限を昇格する可能性があります。
- CVE-2024-37398(CVEスコア7.8)
対象バージョン:ISAC 22.7R4 未満
影響:ISACの検証が不十分なため、クライアントマシンのローカルで認証された攻撃者が権限を昇格する可能性があります。
- CVE-2024-9842(CVEスコア7.3)
対象バージョン:ISAC 22.7R4 未満
影響:ISACの権限が正しくないため、クライアントマシンのローカルの認証された攻撃者により任意のフォルダを作成される可能性があります。
- CVE-2024-8539(CVEスコア7.1)
対象バージョン:ISAC 22.7R3 未満
影響:ISACの不適切な認証により、クライアントマシンのローカルの認証された攻撃者により機密性の高い構成ファイルを変更される可能性があります。
- CVE-2024-29211(CVEスコア7.1)
対象バージョン:ISAC 22.7R4 未満
影響:ISACの競合状態により、クライアントマシンのローカルで認証された攻撃者が機密性の高い構成ファイルを変更できる可能性があります。
- ISACでは上記の他に2件の<重要度:警告>の脆弱性が報告されています。
※この脆弱性が開示された時点で、この脆弱性を悪用された顧客は確認されていません。
■影響を受ける対象バージョン
Pulse Connect Secure(PSA)
・9.1R18.9未満のバージョン
Ivant Connect Secure(ISA)
・22.7R2.3未満のバージョン
Ivanti Secure Access Client(ISAC)
・22.7R4未満のバージョン
■ 修正OS
すべての脆弱性の対策をすることができるバージョンは以下となります。
Pulse Connect Secure(PSA)
・9.1R18.9 (リリース済み)
Ivanti Connect Secure(ISA)
・22.7R2.3(リリース済み)
Ivanti Secure Access Client(ISAC)
・22.7R4(リリース済み)
■ISACバージョンアップ時の注意点
ISACのバージョンが22.7R1以下の場合、ISACを22.7R2.x以上のバージョンにバージョンアップするには
ISAC22.7R2を経由してからバージョンアップする必要があります。(PSA/ISAに接続してバージョンアップする場合のみ)
詳しくは"ISACのコードサイニング証明書更新に伴う注意点.pdf"をご確認下さい。
■ メーカページ
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secure-IPS-Ivanti-Secure-Access-Client-ISAC-Multiple-CVEs?language=en_US
ご不明な点、お問い合わせに関してはPulseSecureサポート担当までお問い合わせ下さい。
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。
サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。
以上、宜しくお願いいたします。
