Ivanti と Veeam のバグが攻撃の対象となる

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、そのセキュリティカタログに積極的に標的を絞った 2 つの欠陥があると警告しています。

米国政府のサイバーセキュリティ監視機関は、CVE-2023-38035とCVE-2023-2752が積極的に悪用されていると述べた。

CVE-2023-38035 では、MobileIron Security の認証バイパスの脆弱性について説明しています。この脆弱性により、9.18.0 より前のバージョンではソフトウェアがセキュリティ チェックを適切に実行できなくなります。 その結果、攻撃者は API にアクセスし、通常は管理者アカウントに限定されるべきコマンドを発行できるようになります。

Ivanti 氏はこの脆弱性について、「アクセス制御チェックが誤って適用されると、ユーザーはデータにアクセスしたり、実行を許可されないアクションを実行したりする可能性がある」と述べた。

「これは、情報漏洩、サービス妨害、任意のコード実行など、幅広い問題を引き起こす可能性があります。」

Ivanti 氏は、ポータル 8433 からのアクセスを制限することで攻撃のリスクを軽減できると指摘し、MICS (MobileIron 構成サービス) アクセスに一般的に使用されるポートが有効になっていない場合、攻撃のリスクはないと述べています。

「この問題のCVSSスコアは高いが、ポート8443をインターネットに公開していない顧客にとって悪用されるリスクは低い」とIvanti氏は述べた。

一方、Veeam Backup & Replication を運用している管理者には、セキュリティ バイパスの脆弱性 CVE-2023-27532 を軽減するためにソフトウェアをアップグレードすることが最適です。

この問題は、攻撃者が認証チェックを回避できる欠陥が原因であると言われています。

「（この脆弱性により）構成データベースに保存されている暗号化された資格情報が取得される可能性があります。これにより、バックアップ インフラストラクチャ ホストへのアクセスが取得される可能性があります。」

Veeam をバージョン 12 (ビルド 12.0.0.1420 P20230223) または 11a (ビルド 11.0.1.1261 P20230227) にアップグレードすると、脆弱性が修正されます。

CISAは攻撃の性質について詳細は明らかにしなかったが、連邦政府機関はできるだけ早く両方のアップデートをテストし、インストールするよう強く勧められると述べた。

CISA には米国政府機関を超える権限はありませんが、国土安全保障省と、米国政府プロジェクトにおいて DHS および CISA に協力する民間業界の両方に対して非常に重要な役割を果たしています。

その結果、民間企業もベストプラクティスとして CISA 指令に従う傾向があります。

「BOD 22-01はFCEB機関にのみ適用されますが、CISAはすべての組織に対し、脆弱性管理慣行の一環としてカタログ脆弱性のタイムリーな修復を優先することでサイバー攻撃への曝露を減らすよう強く求めています」とCISAは述べている。