【要確認】Ivanti Connect Secure のコマンドインジェクション CVE-2024-21887 ― 認証バイパスとの連鎖で無認証RCEに

Ivanti ICS RCE — Command injection CVE-2024-21887 — patch now
Photo: Pexels (free stock)

Ivanti Connect Secure(ICS)および Ivanti Policy Secure に存在するコマンドインジェクション脆弱性 CVE-2024-21887(CVSS 3.1 基本値 9.1/Critical)は、2024年1月12日に開示された既知の脆弱性です。単体では認証済み管理者権限(PR:H)が必要ですが、同時に開示された認証バイパス脆弱性 CVE-2023-46805 と連鎖させると、認証なしで任意コマンドをリモート実行(無認証 RCE)できる状態になります。CISA の既知悪用脆弱性カタログ(KEV)に掲載され、中国系脅威アクター UNC5221 による悪用が確認されています。該当製品を運用している組織は、パッチ適用状況と侵害痕跡を改めて確認してください。

どんな脆弱性か ― 単体と連鎖

CVE-2024-21887 は ICS および Ivanti Policy Secure の Web コンポーネントに存在するコマンドインジェクション(CWE-77)です。単体では、認証済みの管理者が細工したリクエストを送信することで任意の OS コマンドを実行できます(攻撃元区分:ネットワーク、権限:高、ユーザー操作:不要、スコープ:変更あり、機密性・完全性・可用性への影響:すべて高)。この時点でも深刻ですが、問題の核心は連鎖にあります。同時開示の CVE-2023-46805 は認証バイパスの脆弱性であり、この二つを組み合わせると認証を一切必要とせずに任意コマンドをリモート実行できます。インターネットに公開された VPN 集約点が外部から完全に掌握されうる組み合わせであり、境界防御を前提とした設計では被害の封じ込めが困難になります。

影響を受ける製品

  • Ivanti Connect Secure(ICS)9.x および 22.x(サポート対象バージョン)
  • Ivanti Policy Secure 9.x および 22.x(サポート対象バージョン)

対応策

  1. パッチ適用:Ivanti は影響を受ける各バージョン向けにパッチを順次提供しています。Ivanti 公式ナレッジベース(KB)で自組織のバージョンに対応するパッチを確認し、メンテナンス計画を立てたうえで速やかに適用してください。適用後もバージョンを記録し、未適用機器が残っていないか台帳と照合することが重要です。
  2. 適用前は緩和策(Mitigation)を実施:パッチ適用までの間は、Ivanti が提供する緩和策用の XML ファイルをインポートするなど、公式が案内する暫定対処を講じてください。緩和策は完全な修正ではないため、あくまで一時措置と位置づけ、パッチ適用を最優先に進めてください。
  3. 侵害調査(Integrity Checker Tool 等の活用):Mandiant(Google Cloud)の調査では、UNC5221 が 2023 年 12 月頃から悪用していた可能性が示されています。パッチ適用前後を問わず、Ivanti が提供する Integrity Checker Tool(ICT)を用いてファイル改ざんやウェブシェル設置がないか確認してください。ログの保全と EDR・SIEM での異常通信の遡及調査も合わせて実施することを推奨します。

連鎖すると、管理者権限すら不要になる。

Omamori AI の結論

  1. 事実:CVE-2024-21887 は 2024 年 1 月 12 日開示の既知脆弱性。単体 CVSS 9.1(Critical)、CVE-2023-46805 との連鎖で無認証 RCE が成立する。CISA KEV 掲載(是正期限 2024 年 1 月 22 日)、UNC5221 による実害が確認されている。
  2. 判断軸:「開示済みだから対応済みのはず」という思い込みが最大のリスクです。VPN 機器はパッチ適用の遅延が起きやすい資産であり、かつ侵害されても即座に気づきにくい。「本当に適用できているか」を台帳ベースで再確認することが判断の起点になります。
  3. 打ち手:一次情報は NVD(CVE-2024-21887) および Ivanti 公式 KB を参照し、自組織のバージョンに対応するパッチと ICT の手順を確認してください。

経営者視点で考えるべきこと

VPN やリモートアクセス集約点は、「境界を守る装置」であると同時に「境界そのものが突破口になりうる装置」です。今回のように単体では権限が必要な脆弱性でも、別の脆弱性と連鎖することで認証を無効化できるケースは珍しくありません。経営者が認識すべきは、パッチ管理の遅延が許容リスクの範囲を超えうるという点です。VPN 機器のパッチ適用を通常の IT 資産と同サイクルで管理している場合、リスク評価を見直す必要があります。あわせて、侵害を前提とした監視体制——ログの集約・保全期間の確保・異常通信の検知ルール——が機能しているかを確認することが、再発防止と早期収束の両面で有効な経営判断につながります。

出典

・ NVD(National Vulnerability Database)― CVE-2024-21887 / CVE-2023-46805
・ Ivanti 公式ナレッジベース(KB) ― Ivanti Connect Secure および Policy Secure 向けセキュリティアドバイザリ(ivanti.com)
・ CISA Known Exploited Vulnerabilities(KEV)カタログ ― cisa.gov/known-exploited-vulnerabilities-catalog
・ Mandiant(Google Cloud)― UNC5221 による Ivanti Connect Secure の悪用に関する脅威インテリジェンスレポート(mandiant.com)

SHARE 𝕏 in f

あわせて読みたい