お客様各位
拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。
1月11日にIvanti社のConnectSecure製品において深刻度が非常に高い脆弱性が報告されたことを
お知らせしました。
https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP30F0101S01P&oshiraseNo=0000004251&book=23893cd7-f851-4d00-8d38-13247a01d9fe
・CVE-2024-21887(CVSSスコア9.1):Web コンポーネントにコマンド インジェクションの脆弱性
・CVE-2023-46805(CVSSスコア8.2):Web コンポーネントに認証バイパスの脆弱性
また上記脆弱性情報の調査によって、新たに2つの脆弱性情報が特定・公開されました。
・CVE-2024-21888(CVSSスコア8.8):Web コンポーネントに権限昇格の脆弱性
・CVE-2024-21893(CVSSスコア8.2):SAML コンポーネントにサーバー側のリクエスト フォージェリの脆弱性
上記4つの脆弱性の恒久対策版のバージョンがリリースされましたので、お知らせします。
尚、直ぐにバージョンアップ出来ない場合は、前回と同様に緩和策用のXMLファイルが提供されておりますので、そちらの適用をご検討ください。
こちらの緩和策用XMLファイルを適用すると前回のXMLファイルであった制限に加え
SAML通信・SAML認証が使用できない制限がございます。
恒久対策用のファームウェアバージョンにつきましては現在サポートされているバージョンで順次リリースされる予定となります。
変更点につきましては、今回の脆弱性箇所のみとなります。
前回の暫定対策用XMLは緩和策であるため、既に適用いただいているお客様につきましても恒久対策は必須となります。
■ リリース済みのConnectSecure恒久対策バージョン
・9.1R18.3
・9.1R17.2
■ XMLファイルおよび恒久対策バージョンの入手および適用方法
弊社営業・エンジニアまたは、たよれーるコンタクトセンターへご相談ください。
■ メーカページ
https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。
サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。
以上、宜しくお願いいたします。
