お客様各位
拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。
Ivanti Pulse Secure(旧PulseSecure)製品に影響のある複数の脆弱性が確認されました。
いずれの脆弱性も下記のバージョンによって対策が実装済みとなります。
■ 対象脆弱性
- CVE-2023-38551(CRLFインジェクションの脆弱性:CVSSスコア 8.2)
PulseSecureAccess(PSA)/IvatiSecureAccess(ISA)のCRLF インジェクションの脆弱性により、
認証された高い特権を持つユーザー(※)が被害者のブラウザに悪意のあるコードをインジェクトし、
クロスサイト スクリプティング攻撃を引き起こす可能性があります。
※『認証された高い特権を持つユーザー』とは、コンソールでリカバリトークンを作成することで
ログイン可能となるSuper Admin Userが該当します。(ID/PasswordでWeb管理画面にログインするAdminユーザは該当しません)
影響を受けるバージョン:
・PSA:9.1R18.5以下すべての9.1系
・ISA:22.7R1・22.5R2.3以下すべての22系
対策済みバージョン:
・PSA:9.1R18.6、
・ISA:22.7R2、22.5R2.4
- CVE-2023-3804(Window ローカル権限昇格の問題:CVSSスコア 7.8)
PulseDesktopClient(PDC)/IvantiSecureAccessClient(ISAC)にローカル権限昇格の脆弱性があるため、
権限の低いWindowsのユーザーが SYSTEM としてコードを実行できます。
影響を受けるバージョン:
・PDC:全バージョン
・ISAC:22.6以下の全バージョン
対策済みバージョン:
・PDC:なし
・ISAC:22.7R1※WindowsOSの32ビット版には対応しておりません。
- CVE-2023-46810(Linux ローカル権限昇格の問題:CVSSスコア 7.3)
PulseDesktopClient(PDC)/IvantiSecureAccessClient(ISAC)にローカル権限昇格の脆弱性があるため、
権限の低いLinuxのユーザーが SYSTEM としてコードを実行できます。
影響を受けるバージョン:
・PDC:全バージョン
・ISAC:22.6以下の全バージョン
対策済みバージョン:
・PDC:なし
・ISAC:22.7R1
■暫定対策
暫定対策はございません。修正OSにアップグレードを実施してください。
尚、公開前にこれらの脆弱性を悪用されたユーザーは確認されていません。これらの脆弱性はIvanti社によって開示されました。
■ XMLファイルおよび恒久対策バージョンの入手および適用方法
弊社営業・エンジニアまたは、たよれーるコンタクトセンターへご相談ください。
■ メーカページ
・CVE-2023-38551
https://forums.ivanti.com/s/article/KB-Security-Advisory-Ivanti-Connect-Secure-Ivanti-Policy-Secure-May-2024?language=en_US
・CVE-2023-3804/CVE-2023-46810
https://forums.ivanti.com/s/article/KB-Security-Advisory-Ivanti-Secure-Access-Client-May-2024?language=en_US
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。
サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。
以上、宜しくお願いいたします。