2024年1月19日、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、緊急指令24-01「Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性の軽減」を発行しました。CISAは、既知の、または合理的に疑わしい情報セキュリティの脅威、脆弱性、またはインシデントに対応して、緊急指令を発行する権限を有していて、米国連邦政府機関は、これらの指令を遵守することが求められます。
米連邦政府機関には、最近発見された2つの脆弱性に対して、3日以内に軽減策を実施するよう指示が出されました。CISAによるさらなる監視により、攻撃者は脆弱性の悪用を続け、早期の軽減策と検出手法に対して回避策を開発していることがわかりました。1月31日、CISAは緊急指令の補完的指示V1を発行し、機関に対して、Ivanti Connect SecureとIvanti Policy Secure製品のすべてのインスタンスを機関ネットワークからただちに切断し。それらの製品の使用を再開する前にいくつかの作業を行うよう指示しました。
このブログ投稿では、攻撃者の手口を探り、標的となる製品の本質となる高価値性について論じ、Cloudflareのセキュアアクセスサービスエッジ(SASE)プラットフォームによるそれらの脅威に対する保護策を紹介します。
なお、CloudflareのWAFは、Ivantiのゼロデイ脆弱性をプロアクティブに検出しており、Cloudflareの顧客を保護するための緊急ルールを展開しています。
攻撃者の手口
フォレンジック調査(Volexityによる優れたブログ投稿を参照のこと)では、この攻撃は2023年12月の時点で開始されていました。証拠をつなぎ合わせると、攻撃者がこれまで知られていなかった2つの脆弱性を連鎖させて、Connect SecureとPolicy Secureにアクセスし、認証されていないリモートコード実行(RCE)を可能にしたことがわかります。
CVE-2023-46805は、製品のWebコンポーネントにある認証バイパスの脆弱性で、遠隔の攻撃者は制御チェックをバイパスし、制限されたリソースへのアクセスを実現します。CVE-2024-21887は、製品のWebコンポーネントにあるコマンドインジェクションの脆弱性で、認証済みの管理者はアプライアンス上で任意のコマンドを実行し、特別に細工されたリクエストを送信できます。遠隔の攻撃者は、認証をバイパスすることで「認証済み」の管理者を装い、アプライアンス上で任意のコマンドを実行可能となりました。
攻撃者はこれらの脆弱性を悪用して、アプライアンスをほぼ完全に制御しました。攻撃者の行為で、注目する点は次のとおりです。
VPNサービスにログインするユーザーから資格情報を収集
その資格情報を使って保護されたシステムにログインし、さらに多くの資格情報を入手
ファイルを変更してリモートコード実行(RCE)を有効化
多数のWebサーバーにWebシェルをデプロイ
アプライアンスからコマンドアンドコントロール(C2)サーバーにリバーストンネルを構築
ロギングの無効化と既存のログのクリアにより検出を回避
アプライアンスの過小評価と重大なリスク
これは、組織を重大なリスクにさらす深刻なインシデントです。CISAが指令を出すことは当然のことで、Ivantiはこの問題を緩和し、アプライアンス上のソフトウェアのパッチを開発するために懸命に取り組んでいるに懸命に取り組んでいます。また、これは従来型の「城と堀」セキュリティパラダイムを否定するものでもあります。このパラダイムでは、リモートユーザーは「城の外」、保護されたアプリとリソースは「城の中」にあり、セキュリティアプライアンスの層で構成される「堀」が、この2つを分離していました。堀(Ivantiアプライアンス)は、ユーザーの認証と認可を行い、保護されたアプリケーションとリソースに接続する役割を担い、攻撃者やその他の悪意のある行為者は、堀でブロックされていました。
このインシデントは、攻撃者が堀自体をコントロールできるようになった場合にどうなるか、そして制御を取り戻すために組織が直面する課題を示しています。ベンダーが提供するアプライアンスの典型的な2つの特性と従来型のセキュリティ戦略により、リスクは次のように重大なものになります。
管理者はアプライアンスの内部機能にアクセスできる
認証済みのユーザーは企業ネットワーク上のさまざまなアプリケーションやリソースに無差別にアクセスできるので、攻撃者のラテラルムーブメント(水平方向の拡散)のリスクが高まる
より優れた手法:CloudflareのSASEプラットフォーム
Cloudflare Oneは、Cloudflareのセキュリティサービスエッジ(SSE)であり、シングルベンダーSASEプラットフォームです。 Cloudflare Oneはセキュリティとネットワークサービス全体に広がっています(最新のアップデートはこちら)が、ここでは上述の2点に焦点を当ててみます。
まず、Cloudflare Oneは最小権限の原則を含むZero Trustの原則を採用しています。そのため、正常に認証されたユーザーは、自身の役割に必要なリソースとアプリにのみアクセスできます。この原則の下では、攻撃者によるネットワークレベルでの無差別なアクセスが制限され、ユーザーアカウントが侵害された場合にも有用です。さらに、攻撃者のラテラルムーブメントの範囲が制限され、影響を受ける範囲を限定するうえでも効果があります。
第二に、組織の管理者はサービスとポリシーの設定にアクセスする必要がありますが、Cloudflare Oneでは、Cloudflareプラットフォームのシステム内部に外部からアクセスすることはできません。このアクセスが許可されなければ、攻撃者は、Ivantiアプライアンスの内部にアクセスして実行したような攻撃を仕掛けることができません。
従来型のVPNの利用を停止する
組織がCISA指令の影響を受けている、または最新化の準備を始めて現行のVPNソリューションを補強または変更したいとお考えの方は、Cloudflareにお問い合わせください。CloudflareのZero Trustネットワークアクセス(ZTNA)サービスは、 Cloudflare Oneプラットフォームの一部で、ユーザーをアプリに接続するための最速かつ安全な方法です。
オンボーディング支援がすぐに必要な方や、アーキテクチャワークショップの予約をご希望の方は、Cloudflareにお問い合わせください。ご利用中のIvantiまたはその他のVPNソリューションの補強や変更をお手伝いいたします。まだ問い合わせる段階ではない、とお考えの方は、現行のVPNをCloudflareのSASEレファレンスアーキテクチャに置き換える方法に関するラーニングパスの記事をご覧いただき、CloudflareのすべてのSASEサービスとオンランプとの連携をご確認ください。