PSA(PulseSecure) Ivanti Connect Secureの脆弱性について

連絡
お知らせ管理番号:
0000004251
公開日:
2024年1月11日

お客様各位

本脆弱性について追加の情報がございます。
下記お知らせをご参照ください。
https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP30F0101S01P&oshiraseNo=0000004327&book=f0fbae42-ef3c-439e-ad59-216cce8647b7

 

-------------------------

拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。 

IvantiPulsecure(旧PulseSecure)製品に影響のある深刻度が非常に高い脆弱性が確認されました。


 CVE-2023-46805:CVSS スコア 8.2(High)
 CVE-2024-21887:CVSS スコア 9.1(Critical)

二つの脆弱性(CVE-2024-21887 、CVE-2023-46805)が公開されておりますが、
組み合わせて使用した場合、認証の必要なくシステム上で任意のコマンドを実行することが可能です。

暫定の回避策がIvanti社から案内されていますので、直ちに回避策の実施をお願い致します。
回避策の実施ができない場合は、PSA/ISAの電源をOFFするかネットワークから切り離してください。

■ 対象製品・バージョン 
設定に関わらず全てのバージョン (バージョン 9.x および 22.x)のPSA/ISA/PPS が対象になります。

■ 対象脆弱性
CVE-2023-46805:CVSS スコア 8.2(High)
Ivanti(Pulse) Connect Secure (9.x、22.x) および Ivanti(Pulse) Policy Secure の Web コンポーネントに認証バイパスの脆弱性があるため、
リモート攻撃者が制御チェックをバイパスして制限されたリソースにアクセスできます

CVE-2024-21887:CVSS スコア 9.1(Critical)
Ivanti Connect Secure (9.x、22.x) および Ivanti Policy Secure の Web コンポーネントにコマンド インジェクションの脆弱性があるため、
認証された管理者が特別に作成されたリクエストを送信し、アプライアンス上で任意のコマンドを実行することができます。
この脆弱性はインターネット経由で悪用される可能性があります。


■ 暫定回避策(全機種共通)
暫定回避策用のXMLを、PSA/ISAにインポートすることにより本脆弱性の影響を回避できます。
また、本暫定回避策にてXMLを適用の際、機器の再起動ならびにユーザへの通信影響は生じません。

なお、XMLファイルは、次の機能に影響を与えるか、機能を低下させます。

Ivanti Connect セキュア:
・管理REST API
  構成と監視のために REST API を使用して構築された自動化が影響を受けます。管理者はGWのGUIインターフェイスを使用してゲートウェイにアクセスできます。
・エンドユーザーポータル (Advanced HTML5 Bookmark)
 これは、動的に割り当てられた HTML5 ブックマークが影響を受けます。
 既存の事前定義された HTML5 ブックマークは影響を受けません。
・エンドユーザーの JSAM 機能は影響を受けます。
・リライター機能は使用できなくなります。
・HTML5 を使用した Citrix StoreFront は影響を受けます
  CTS/WSAM 経由で接続する ICA クライアントを使用する Citrix ストアフロントは影響を受けません
・PSAL インストールの自動起動
  過去にブラウザからISAにログインして 、PSAL をインストールしたことのない新規ユーザーまたはマシンにのみ影響します。
  ISAのみが本影響を受けます。PSAについては影響を受けません。
  PSALを手動でダウンロードしインストールすることで回避可能です。
・管理者 CRL 構成
  管理者はCRLの設定を変更できなくなります。
  CRL機能自体は軽減策の影響を受けません。

 

■ XMLファイルの入手および適用方法
弊社営業・エンジニアまたは、たよれーるコンタクトセンターへご相談ください。

■ 恒久対策
修正バージョンへのアップデートとなります。
1月22日より順次リリースされます。


■ メーカページ
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

 

なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。

サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。

以上、宜しくお願いいたします。