X

クラウドコンピューティングが必要ですか? 今すぐ始める

Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する

CVE-2024-22024 のスキャンアクティビティの観測 - Ivanti 製品に存在する XXE の脆弱性

Akamai Wave Blue

執筆者

Sam Tinklenberg and Noam Atias

February 14, 2024

Sam Tinklenberg

執筆者

Sam Tinklenberg

Sam Tinklenberg is a Senior Security Researcher in the Apps & APIs Threat Research Group at Akamai. Sam comes from a background in web application penetration testing and is passionate about finding and protecting against critical vulnerabilities. While he isn’t breaking web apps, Sam enjoys video and board games, being outside, and spending time with friends and family.

Noam Atias

執筆者

Noam Atias

Noam Atias is a Security Researcher in the Apps & APIs Threat Research Group at Akamai.

弊社のプラットフォームでは、この CVE を標的とした重大なスキャンアクティビティが確認されています。

はじめに

ここ数週間で、Ivanti は多数の 重大な CVE を公開しました。最新の CVE-2024-22024 もその 1 つです。以前の脆弱性ほど CVSS スコアは高くありませんが、CVE-2024-22024 も攻撃者にとって主要なターゲットとなり得ます。

2024 年 2 月 8 日、Ivanti は CVE-2024-22024 に関する アドバイザリー を発表しました。Ivanti は当初、この欠陥が内部テスト中に発見されたと報告していました。しかし、Invati のアドバイザリーは後に更新され、責任を持ってこの脆弱性を開示した watchTowr が評価されることとなりました。

CVE-2024-22024 は、Ivanti Connect Secure および Ivanti Policy Secure の SAML コンポーネント内に存在する XML 外部エンティティ(XXE)インジェクションの脆弱性です。 この脆弱性が悪用されると、基盤となる Web アプリケーションによって異なりますが、機微な情報の漏えい、サービス拒否(DoS)、サーバーサイド・リクエスト・フォージェリー(SSRF)、さらには任意のコードの実行につながる可能性があります。

防御対策を講じる

スキャンアクティビティの観測

弊社のプラットフォームでは、この CVE を標的とした重大なスキャンアクティビティが確認されています。2024 年 2 月 9 日に最初の概念実証(PoC)が公開された後、スキャンの急増が観測されました。スキャントラフィックは 2 月 11 日にピークに達し、2 月 12 日には徐々に減少しました(図 1)。

スキャントラフィックは 2 月 11 日にピークに達し、2 月 12 日には徐々に減少しました(図 1)。 図 1:1 日あたりのスキャンリクエスト数を示すタイムライン

  • 約 240,000 件のリクエスト 

  • 30,000 のホストが標的に

  • 80 以上の IP からのペイロード送信を観測

  • 11 か国からの攻撃トラフィック

これまでのところ、 watchTowrが公開したオリジナルの PoC と同様のペイロードしか確認されていません。オリジナルの PoC にはいくつかのバリエーションがありますが、すべてのペイロードは「ブラインド」型のアウトオブバンドペイロードであり、標的となるサーバーに多数のリスニングドメインの 1 つとのインタラクションを行わせようとします。

Akamai Security Intelligence Group では、引き続き弊社の Web アプリケーションファイアウォール(WAF)のログを分析して新しいバリアントまたは武器化されたペイロードへの移行を探し、新たな情報があればブログのこのセクションを更新する予定です。

Akamai App & API Protector による緩和

Akamai Adaptive Security Engine を自動モードで使用していて、Web Platform Attack グループを Deny モードにしているお客様は、自動的にこれらの攻撃から保護されます。Adaptive Security Engine を手動モードで使用しているお客様は、Web Platform Attack グループまたは以下の個別ルールが Deny モードになっていることを確認する必要があります(図 2)。

  • 3000934 v1 — Ivanti Connect Secure に対する XXE 攻撃(CVE-2024-22024)の検知の改善

拒否された攻撃試行 図 2:Adaptive Security Engine ルールによって拒否された攻撃試行

まとめ

Akamai App & API Protector は、弊社のセキュリティソリューションを利用するお客様に対するこれらの攻撃の試みを、適切に緩和してきました。

最も効果的な防御策はベンダーから提供されたパッチを速やかに適用することであることは、今後も変わりません。しかし、脆弱なソフトウェアを特定して安全にパッチを適用するためだけにセキュリティチームがどれほどの時間と労力を費やす必要があるかを、Akamai は理解しています。また、アプリケーションや流動的な環境の増加に伴い、このタスクにはさらに多くの時間と労力が必要になります。

かつてないほど増加している脅威から組織の資産を保護するためには、今後も多層防御戦略が不可欠です。攻撃者は公開された PoC を攻撃ツールセットに迅速に組み込むため、防御者にとっての課題がさらに増大します。Akamai App & API Protector などの WAF を実装することで、防御レイヤーが追加され、新たに発見された CVE に対する防御と追加のセキュリティバッファーがもたらされます。

このブログ記事では、現在入手可能な情報に基づいた Akamai の見解と推奨事項について概要を紹介しています。Akamai ではレビューを継続的に行っているため、本資料に含まれる情報は変更される可能性があります。また、Akamai の X アカウントでリアルタイムの更新情報を確認できます。

X(旧 Twitter)で Akamai をフォロー
Akamai Wave Blue

執筆者

Sam Tinklenberg and Noam Atias

February 14, 2024

Sam Tinklenberg

執筆者

Sam Tinklenberg

Sam Tinklenberg is a Senior Security Researcher in the Apps & APIs Threat Research Group at Akamai. Sam comes from a background in web application penetration testing and is passionate about finding and protecting against critical vulnerabilities. While he isn’t breaking web apps, Sam enjoys video and board games, being outside, and spending time with friends and family.

Noam Atias

執筆者

Noam Atias

Noam Atias is a Security Researcher in the Apps & APIs Threat Research Group at Akamai.

関連ブログ記事

Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。
Akamai の研究者である Stiv Kupchik が、Microsoft の Remote Registry クライアントに新しい権限昇格(EOP)の脆弱性があることを発見しました。

呼び出しと登録 — WinReg RPC クライアントに対するリレー攻撃

October 19, 2024
Akamai の研究者たちが、新たな脆弱性を発見しました。この脆弱性は、悪用されると Windows マシンへの権限昇格攻撃に繋がります。
by Stiv Kupchik
続きを読む
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。
今回の起訴は、インターネットの安全性向上に向けた大きな一歩です。

アノニマス・スーダンの起訴:Akamai の役割

October 16, 2024
司法省は、アノニマス・スーダンの起訴を発表しました。Akamai がこの取り組みをどのように支援したのか、ご確認ください。
by Akamai SIRT
続きを読む
今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。
今月は 60 種類のコンポーネントに関する計 117 件の CVE があります。重大な脆弱性は、そのうち 3 件です。

2024 年 10 月の Patch Tuesday に関する Akamai の見解

October 11, 2024
多くの CVE がありますが、怖れることはありません。怖がるのはハロウィンまで取っておきましょう。 今月は計 117 件の CVE があり、2 つの脆弱性が野放し状態で悪用されていました。
by Akamai Security Intelligence Group
続きを読む