独立研究者によって発見され、Trend MicroのZero Day Initiative (ZDI)に売却された、Ivanti Endpoint Managerの重大な脆弱性CVE-2024-29824が公表された。このSQLインジェクションのバグは、未認証の攻撃者がリモートでコード実行(RCE)を行うことを可能にし、CVSSスコアで9.8の重大な評価を受けている。この脆弱性は、Ivantiの中央集中型エンドポイント管理ソリューションに影響を与え、攻撃者が組織内の多数のデバイスを一箇所から侵害することを可能にする。
Horizon3.aiによってGitHub上に公開された証明概念(PoC)エクスプロイトは、プログラムのコアサーバー内に含まれる”PatchBiz”というDLLファイル内の”RecordGoodApp”メソッドに存在する特定の欠陥を利用する。このメソッドは、SQLクエリを構築する前にユーザー入力データを十分に検証しないため、攻撃者はWindowsのメモ帳を実行させるためのリクエストを送信することができる。
Ivantiは、この脆弱性に対して迅速に対応し、発表と同時にパッチを公開した。ZDIの脅威認識部門の責任者であるDustin Childsは、Ivantiが今年に入ってから多くのセキュリティ問題に直面しているにもかかわらず、この最新の脆弱性に対しては適切に対処したと強調している。Ivantiの顧客には、可能な限り早急にこのパッチを適用することが推奨される。
【ニュース解説】
Ivanti Endpoint Managerにおける重大な脆弱性CVE-2024-29824が発見され、公表されました。この脆弱性は、SQLインジェクションのバグであり、未認証の攻撃者がリモートでコード実行(RCE)を可能にするものです。CVSSスコアで9.8と評価されるほどの重大な問題であり、Ivantiの中央集中型エンドポイント管理ソリューションに影響を及ぼします。この問題により、攻撃者は組織内の多数のデバイスを一箇所から侵害することが可能になります。
Horizon3.aiによってGitHub上に公開された証明概念(PoC)エクスプロイトは、”PatchBiz”というDLLファイル内の”RecordGoodApp”メソッドに存在する特定の欠陥を利用します。このメソッドは、SQLクエリを構築する前にユーザー入力データを十分に検証しないため、攻撃者は比較的簡単なリクエストを送信してWindowsのメモ帳を実行させることができます。
Ivantiはこの脆弱性に対して迅速に対応し、発表と同時にパッチを公開しました。今年に入ってから多くのセキュリティ問題に直面しているにもかかわらず、この最新の脆弱性に対しては適切に対処したとされています。Ivantiの顧客には、可能な限り早急にこのパッチを適用することが推奨されます。
この脆弱性の発見と公表は、組織のセキュリティ体制にとって重要な意味を持ちます。第一に、組織内の多数のデバイスを一箇所から管理する中央集中型エンドポイント管理ソリューションのセキュリティが、攻撃者にとって魅力的なターゲットになることを示しています。これにより、一つの脆弱性を突くだけで、組織全体に広範な影響を及ぼす可能性があります。
また、この事例は、セキュリティ脆弱性に対する迅速な対応の重要性を浮き彫りにします。Ivantiが迅速にパッチを公開したことで、潜在的な被害を最小限に抑えることができました。しかし、証明概念(PoC)エクスプロイトが公開されているため、パッチを適用していないシステムは依然として高いリスクにさらされています。
このような脆弱性の発見と対応は、セキュリティの継続的な監視と迅速な対応体制の構築がいかに重要であるかを示しています。また、組織は、セキュリティパッチの適用を怠らず、管理インターフェースをインターネットから保護するなど、セキュリティ対策を強化する必要があります。
from PoC Exploit Emerges for Critical RCE Bug in Ivanti Endpoint Manager.
