独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は1月11日、Ivanti Connect Secure および Ivanti Policy Secure Gateways の脆弱性対策について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Ivanti Connect Secure (ICS)(旧名称 Pulse Connect Secure)
Ivanti Policy Secure
※バージョン9系および22系のすべてのサポートバージョン
Ivantiが提供するIvanti Connect Secure(旧Pulse Connect Secure)および Ivanti Policy Secureには、不適切な認証(CVE-2023-46805)とコマンドインジェクション(CVE-2024-21887)の脆弱性が存在し、2つの脆弱性を組み合わせて悪用された場合、遠隔の第三者によって認証不要で当該システム上で任意のコマンドを実行される可能性がある。
JVNによると、本脆弱性を悪用した攻撃が既に確認されており、開発者が提供する整合性チェックツール(IntegrityChecker Tool)を実行することで、機器が侵害された可能性について調べることができる。
Ivanti では、ワークアラウンドの適用を推奨している。また、本脆弱性に対するパッチは1月22日の週より2月12日の週にかけて段階的に提供予定。
