【要確認】Ivanti Connect Secure のSSRF脆弱性 CVE-2024-21893 ― 無認証で制限リソースにアクセス、CISA KEV掲載

Ivanti Connect Secure および Policy Secure、Neurons for ZTA に存在するサーバーサイドリクエストフォージェリ(SSRF)脆弱性 CVE-2024-21893(CVSS 3.1 基本値 8.2 / High)は、2024年1月31日に開示され、同日 CISA KEV(既知悪用脆弱性カタログ) に登録された既知の脆弱性である。最大の特徴は認証不要で悪用できる点であり、SAMLコンポーネントを経由して一部の制限されたリソースへのアクセスが可能となる。開示からすでに一定期間が経過しているが、境界機器の性質上パッチ未適用のまま運用されているケースも想定される。本稿は新規の脅威情報ではなく、自組織のパッチ適用状況の再確認を促す目的で整理するものである。
どんな脆弱性か
CVE-2024-21893 は、Ivanti 製品の SAMLコンポーネントに潜むSSRF脆弱性である。攻撃者は有効な認証情報を持たない状態(認証不要・ネットワーク越しに)でリクエストを細工し、本来外部から到達できないはずの内部リソースへアクセスできる状態を作り出す。CVSSベクトルが示すとおり機密性への影響が高く(C:H)、完全性への影響は限定的(I:L)である。さらに深刻なのは、本脆弱性が単体で悪用されるだけでなく、認証バイパス脆弱性 CVE-2023-46805 およびコマンドインジェクション脆弱性 CVE-2024-21887 と連鎖して攻撃に利用された実績がある点だ。VPNや認証基盤といった境界機器は侵害時の影響範囲が広く、連鎖攻撃の踏み台になりやすい性質を持つ。
影響と対応の考え方
影響を受ける製品は Ivanti Connect Secure(9.x 系・22.x 系)、Policy Secure(9.x 系・22.x 系)、および Neurons for ZTA と報告されている。ただし、具体的に影響を受けるマイナーバージョン番号および修正済みバージョン番号は本稿では確認できていないため、必ずIvanti公式アドバイザリおよびCISA KEVカタログで最新情報を確認されたい。バージョン番号を自己判断で補完することは誤検知・見落としのリスクを生む。社内に複数のIvanti製品インスタンスが存在する場合、管理台帳と実稼働環境のバージョンが乖離しているケースも少なくない。棚卸しを含めた確認を推奨する。
対応策
- パッチ適用状況の確認:Ivanti公式アドバイザリで修正バージョンを確認し、未適用の環境がないかを管理台帳と照合する。バージョン番号は公式ソースを唯一の根拠とし、社内での口頭確認のみで完結させないこと。
- 該当資産の棚卸し:Connect Secure・Policy Secure・Neurons for ZTA の全インスタンスをCMDBまたは構成管理ツールで洗い出す。クラウド環境・拠点展開・子会社管理下の機器も含め、抜け漏れのない網羅性を確保する。
- 侵害有無の点検:CISA KEV掲載は実際の悪用を前提とする。CVE-2023-46805・CVE-2024-21887との連鎖攻撃に対応したIoCをCISAアドバイザリで取得し、当該期間のVPN・認証ログと照合して侵害の痕跡がないかを確認する。
「既知」は「対応済み」を意味しない。
Omamori AI の結論
- 事実:CVE-2024-21893 は認証不要のSSRF脆弱性(CVSS 8.2)であり、2024年1月31日開示・同日CISA KEV登録。複数CVEと連鎖した実攻撃が確認されている。
- 判断軸:CISA KEV掲載脆弱性は「悪用が現実に発生した」という公的認定であり、組織のパッチ優先度付けにおいて上位に位置づけるべき根拠となる。対応済みであることの再検証が求められる。
- 打ち手:①Ivanti公式アドバイザリで修正バージョンを確認しパッチ適用状況を文書化する、②IoCを用いたログ調査を実施する、③連鎖悪用への備えとして関連CVE(CVE-2023-46805・CVE-2024-21887)の対応状況も同時に確認する。
経営者視点で考えるべきこと
境界機器やID基盤に関わる脆弱性は、侵害時に社内ネットワーク全体への横展開を許す入口となり得る。CISA KEV掲載脆弱性は政府機関に対して期限付き対応を義務付けるカタログであり、民間企業においても優先対応の判断基準として活用できる。重要なのは「パッチを当てた」という記録が存在するかではなく、「現在稼働しているすべての該当機器で適用されているか」を確認できる体制があるかである。資産管理台帳の整備と、パッチ適用状況を定期的に可視化する仕組みへの投資は、こうした局面でのリスク低減に直結する経営上の判断事項である。


