【PSA(PulseSecure) Ivanti Connect Secure】脆弱性 CVE-2024-37404 対策情報

連絡
お知らせ管理番号:
0000004925
公開日:
2024年10月10日

お客様各位

拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。

Ivanti Pulse Secure(旧PulseSecure)製品に影響のある脆弱性が確認されました。

■ 対象脆弱性
- CVE-2024-37404(CRLFインジェクションの脆弱性、CVSS 9.1)
  PulseSecureAccess(PSA)/IvatiSecureAccess(ISA)のCRLFインジェクションの脆弱性により、
認証されたリモート・ユーザーが任意のコードを実行できるようになります。

■対象バージョン
Pulse Connect Secure:
・9.1R18.8以下のバージョン

Ivant Connect Secure
・22.7R2以下のバージョン

■ 修正OS
本脆弱性につきまして、下記のバージョン以降で対応済み(予定)となります
Pulse Connect Secure:
・9.1R18.9 (2024年10月15日にメーカーからリリース予定)

Ivant Connect Secure
・22.7R2.1(リリース済み)
・22.7R2.2(リリース済み)

■緩和策
本脆弱性を悪用する為に攻撃者はPSA/ISAの管理者ポータルから管理者権限でログインする必要があります。
外部からPSA/ISAの管理者ポータルページにアクセス出来ないように制限する事で本脆弱性の脅威を緩和することができます。

【1.管理画面にアクセスするPortを制限】
 ISA/PSA は、Internal Port、External Port、Management Portの各Portに対して管理画面へのアクセス許可設定をすることが可能です。
 ※PSA300はManagement Portは実装されていません。
 下記のとおり、外部から管理画面へアクセスできないように設定してください。
 ・パス:Administrator > Admin Realms > Admin Users > Authentication Policy > Source IP > Administrator sign in ports より、
  外部からアクセス可能なPortのチェックを外してください。

【2.管理画面にアクセスできる送信元IPアドレスを制限】
 管理画面へのアクセス制限を送信元IPアドレス単位で設定することが可能です。
 ・パス:Administrator > Admin Realms > Admin Users > Authentication Policy > Source IP
  > Allow or deny users from the following IP addressesにチェックを入れます。
 ・許可するIPv4/v6アドレスとサブネットマスクを入力し、Allowを選択し、[Add]をクリックします。

【3.パスワードポリシーの見直し】
 管理画面のログインに必要な強力なパスワードポリシーへの変更と定期的なパスワード変更をお願いいたします。
 ・パス:Authenticator >Auth Servers > 利用している管理者用認証サーバ > Settings より、パスワードポリシーの内容を確認する。
 ・パス:Administrator > Admin Realms > Admin Users > General より、
  Additional Authentication ServerのEnable additional authentication serverにチェックを入れることで多要素認証の設定が可能です。

【4.ログ監視項目の見直し】
 本脆弱性を悪用する権限のない管理者による行動を監視および検出するために、Admin Logsの出力設定を見直してください。
 パス:System > Log/Monitoring > Admin Access > Log settings より、
 Administrator changes ,License Changes ,Administrator logins それぞれにチェックを入れてください。
 (デフォルトでは全てにチェックが入っております。)

■ メーカページ
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-and-Policy-Secure-CVE-2024-37404?language=en_US

なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。

サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。

以上、宜しくお願いいたします。