Ivanti VPN悪用：CVE-2024-21887 + CVE-2023-46805

エグゼクティブサマリー

2024年初頭、サイバーセキュリティ界隈はIvanti Connect SecureとPolicy Secureゲートウェイを標的とした、最も重要なVPN悪用キャンペーンの一つを目撃しました。CVE-2024-21887とCVE-2023-46805を組み合わせた脆弱性チェーンにより、脅威アクターは認証なしでリモートコード実行を達成し、世界中の何千ものデバイスを危険にさらしました。この高度な攻撃は、一見無関係に見える複数の脆弱性が連鎖することで、重要インフラに甚大なセキュリティ侵害をもたらすことを示しています。

脆弱性チェーンの理解

CVE-2023-46805：認証バイパスゲートウェイ

CVE-2023-46805は、CVSSスコア8.2の高重大度の認証バイパス脆弱性です。この欠陥はIvanti Connect Secure（旧Pulse Connect Secure）とIvanti Policy SecureゲートウェイのWebコンポーネントに存在し、9.xや22.xリリースを含むすべてのサポートバージョンに影響します。

この脆弱性により、リモート攻撃者は制御チェックを回避し、適切な認証なしに制限されたリソースにアクセスできます。回避手法はパス・トラバーサルを利用し、アクセス制御を突破します。これにより、認証済みのみがアクセスできる攻撃が、完全に認証不要な侵害に変わるのです。

CVE-2024-21887：コマンドインジェクションの要

CVE-2024-21887は、CVSSスコア9.1の重大な脆弱性です。このコマンドインジェクションは、Ivanti Connect SecureとPolicy SecureのWebコンポーネントに存在します。通常は管理者の認証が必要ですが、認証済みの管理者が悪意のあるリクエストを送ることで悪用可能です。

特に/api/v1/license/key-status/<path:node_name> APIエンドポイントに影響し、認証された管理者は悪意のあるペイロードを送信して任意のコマンドを実行できます。文字セットや実行環境の制約により危険性は高く、認証バイパスと併用されるとさらに深刻です。

致命的な組み合わせ：認証不要のRCE

これらの脆弱性を連鎖させると、「二つの脆弱性によるノックアウトパンチ」と呼ばれる攻撃が成立します。攻撃の流れは次の通りです：

初期アクセス：CVE-2023-46805を利用して認証を回避し、管理機能に無認証でアクセス
権限昇格：認証バイパスにより、通常は管理者のみアクセスできるエンドポイントに到達
コマンド実行：CVE-2024-21887を使い、脆弱なAPI経由で悪意のあるコマンドを注入
システム侵害：任意コードが高権限で実行され、VPNアプライアンスを完全に制御

この組み合わせは、認証不要・ユーザー操作不要で、システム全体を掌握できる破壊的な攻撃経路に変貌させます。

発見と悪用のタイムライン

2023年12月初旬：初期侵害

Volexityのセキュリティ研究者は、2023年12月3日に管理しているセキュリティクライアントのネットワーク監視中に怪しい活動を最初に検知しました。調査により、通常のネットワーク動作と異なる横方向の移動パターンが判明し、詳細分析の結果、ゼロデイの悪用が明らかになりました。

2024年1月10日：公開情報

Ivantiは、VolexityやMandiant（Google Cloudのセキュリティ研究部門）と連携し、2024年1月10日に両脆弱性を公に開示しました。この発表はサイバーセキュリティ界に衝撃を与え、広く展開されている企業VPNソリューションのすべてのバージョンに影響を及ぼしました。

当時、パッチは未公開で、Ivantiは顧客ポータルを通じて緊急のXML設定ファイルを配布し、手動で設定をインポートさせる対応を取りました。これは一時的な対策にすぎず、根本的な修正には至りませんでした。

2024年1月16日：大規模悪用開始

証明コードの公開後、2024年1月16日以降、攻撃の試行が急増しました。最初の24時間でスキャン活動が指数関数的に増加し、世界中の脅威アクターがパッチ適用前に脆弱なシステムを狙い始めました。

パッチリリーススケジュール

Ivantiは段階的にパッチをリリースしました： - 2024年1月22日の週：最初のパッチバージョン公開 - 2024年2月19日までにすべてのサポートバージョンに最終パッチ適用

侵害の規模：数字で見る

グローバルな露出状況

サイバーセキュリティ企業の調査によると、攻撃の表面積は次の通りです：

145か国で28,000以上のIvanti Connect SecureとPolicy Secureがインターネットに公開
世界中で1,700以上のデバイスが侵害済みと確認（Volexity分析）
600以上の攻撃活動が複数のセキュリティベンダーにより観測
17,000以上の脆弱インスタンスがShodan検索で特定されました

業界への影響

この侵害は多様な業界に及びました：

連邦政府：米国サイバーセキュリティ・インフラ安全保障局（CISA）が緊急指令24-01を発出し、すべての連邦機関に即時対応を指示
金融サービス：複数の銀行が侵害の試行を報告
医療：病院や医療施設で侵入試行を検知
テクノロジー企業：ソフトウェアベンダーやクラウドサービス事業者がVPNアプライアンスにバックドアを発見
製造業：産業用制御システムネットワークに横移動の脅威

脅威アクターの特定と戦術

UNC5221：主要な敵対者

Mandiantは、主な脅威アクターをUNC5221と特定。中国系のスパイグループと疑われるこのAPTは、次のような高度な技術を駆使しています：

カスタムマルウェア群：複数の独自マルウェアを展開
反フォレンジック技術：IvantiのIntegrity Checker Toolを改変し検知回避
持続性確保：再起動やアップグレード後も残るバックドア設置
資格情報収集：Active Directoryから平文パスワードやNTLMハッシュを抽出

使用されたマルウェア群

セキュリティ研究者は、以下のカスタムマルウェアを特定しています：

ZIPLINE：特別に作成されたネットワークパケットを待ち受けるパッシブバックドア。攻撃者はこれを使い、明示的なネットワーク接続なしにコマンド＆コントロールを確立します。

LIGHTWIRE：Webシェルで、正規のWebサーバープロセスを通じて持続的アクセスを提供。検知が非常に難しくなります。

WARPWIRE：Ivantiのパスワードキャッシュから認証情報を抽出する資格情報ハーベスター。Active Directoryの資格情報やAPIキー、セッショントークンを収集します。

THINSPOOL：追加のマルウェアペイロードを展開し、感染チェーンを維持するドロッパーコンポーネント。

GLASSTOKENとGIFTEDVISITOR：正規のJavaScriptコンポーネントを改変し、認証時にユーザ資格情報を盗み出すWebシェル。

攻撃の流れ

インシデント対応者が観測した典型的な攻撃シーケンスは次の通りです：

初期侵入：CVE-2023-46805とCVE-2024-21887を連鎖させて認証なしでアクセス
データベース抽出：/runtime/mtmp/lmdbディレクトリにあるセッション情報や資格情報、証明書をアーカイブ
Webシェル設置：compcheck.cgiなどの正規CGIファイルにバックドアを仕込み、持続的アクセスを確保
ログ操作：ログを無効化し、既存ログを消去して痕跡を隠す
横移動：収集した資格情報を使い、内部ネットワークへ侵入
持続性確保：システムファイルやIntegrity Checker Toolを改変し、アクセスを維持

政府の対応と緊急指令

CISA緊急指令24-01

2024年1月19日、CISAは緊急指令24-01を発出。これは近年最も緊急性の高い勧告の一つです。内容は：

影響を受けたIvantiアプライアンスの直ちな切断または隔離
すべてのデバイスで外部のIntegrity Checker Toolを実行
1月22日までに緊急の緩和策を適用
侵害の兆候を24時間以内にCISAに報告
侵害が判明した場合は工場出荷時リセットを準備

補足ガイダンスとアップデート

調査の進展に伴い、CISAは複数の補足情報を公開：

2024年2月29日：CISAの研究チームは、Integrity Checker Toolだけでは高度な侵害を検知できないと指摘。工場出荷時リセットやアップグレード後も根深い持続性が維持されることを実証しました。

主な調査結果： - ドメイン管理者の資格情報を平文で抽出 - セキュリティ対策を超える持続性を確保 - インテグリティチェックの回避 - ネイティブツールを使った内部偵察

技術的詳細：悪用の仕組み

認証バイパスの詳細

CVE-2023-46805は、Webアプリのルーティングロジックにおけるパストラバーサルの弱点を突きます。特定のパスは認証なしでアクセス可能であり、攻撃者はこれを利用して未認証のパスから認証済みの管理者エンドポイントにリダイレクトさせることができます。

例：

/api/v1/totp/user-backup-code/../../license/keys-status/

このURLは../を使ったトラバーサルシーケンスで、未認証のエンドポイントから認証済みの管理機能へとリダイレクトし、認証制御を回避します。

コマンドインジェクションの詳細

CVE-2024-21887は、脆弱なAPIエンドポイントへの特別なリクエストを通じてコマンドインジェクションを許します。node_nameパラメータは適切な入力検証がされておらず、シェルコマンドの注入が可能です。

コマンドは特定の文字制約（ピリオドや数字）内で受け付けられますが、高度な攻撃者は以下の手法で任意のコードを実行します：

Return-Oriented Programming (ROP)チェーン
Unicodeエンコーディング
別のコマンド実行手法
組み込みのシステムユーティリティの利用

実例：実際の悪用例

攻撃者が逆シェルを確立した例を記録：

POST /api/v1/license/keys-status/../../malicious-path

ペイロードは次のコマンドを実行： - Netcat逆シェルの作成 - 攻撃者インフラから追加ツールのダウンロード - Sliverインプラントの設置 - キャッシュされた資格情報の収集（Perlスクリプト使用）

検知と対応の課題

Integrity Checker Toolの限界

Ivantiは、感染判定用のIntegrity Checker Tool（ICT）を公開しましたが、多くのセキュリティ企業やCISAの調査により、以下の問題が明らかに：

回避技術：高度な攻撃者はICT自体を改変し、誤検知を誘発
範囲の限定：すべてのマルウェアや持続性を検知できない
バージョン依存：異なるアプライアンスバージョンに対応した検出方法が必要
誤った安心感：ICTだけに頼ると高度な侵害を見逃す可能性

検知指標

以下のIOC（侵害指標）が特定されています：

ファイルシステムの改変： - /home/bin/compcheck.cgiにバックドア - /dana-na/auth/lastauthserverused.jsの改変 - /tmpや/runtime内の不審なファイル - /home/webserver/htdocs/のWebコンポーネント改変

ネットワーク指標： - 攻撃インフラへの異常なアウトバウンド通信 - C2通信を示すビーコンパターン - 資格情報キャッシュからの大量データ送信 - VPNアプライアンスからの疑わしいSSL/TLS通信

ログの異常： - ロギング機能の無効化 - ログファイルの欠落や切り詰め - 認証ログのギャップ - 正常時間外の管理者活動

緩和策とベストプラクティス

直ちに取るべき行動

Ivanti Connect SecureまたはPolicy Secureゲートウェイを運用する組織は:

即時パッチ適用：最新版（9.1R14.4、9.1R17.2、9.1R18.3、22.4R2.2、22.5R1.1以降）にアップグレード
工場出荷時リセット：パッチ適用前にリセットし、持続性の高いバックドアを除去
資格情報の変更：すべてのパスワードやAPIキーを更新し、証明書も再発行
検知ツールの実行：内部・外部のIntegrity Checker Toolを併用し、結果だけに頼らない
IOCの探索：ネットワーク、ファイル、ログ内の兆候を調査

長期的なセキュリティ向上策

ネットワーク分離：VPNアプライアンスを重要な内部資源から隔離し、ゼロトラストとマイクロセグメンテーションを採用

監視強化：詳細なログ記録とSIEM連携により異常行動を検知

多要素認証：VPNアクセスと管理機能にMFAを適用。ただし、CVE-2023-46805はMFAを突破している点に注意

代替ソリューション：VPNの多様化やクラウドネイティブのゼロトラストネットワークアクセスへの移行検討

脆弱性管理：迅速なパッチ展開とインターネット公開システムの管理

教訓と今後の展望

脆弱性チェーンの脅威モデル

この事例は、脆弱性の連鎖が現代インフラにとって重大な脅威となることを示しています。セキュリティチームは、個別の脆弱性だけでなく、複合的な攻撃経路を評価すべきです。

エッジデバイスの高価値ターゲット

VPNアプライアンスやエッジデバイスは、次の理由で高度な攻撃者に狙われやすいです： - ネットワークの境界に位置し、外部・内部の両方にアクセス可能 - 専用OSやセキュリティツールが限定的 - 伝統的なサーバーと比べてセキュリティ監査が少ない - 横移動の拠点として理想的

パッチ遅延の課題

パッチの遅れにより、組織は脆弱性を認識しながらも対策手段が限定される危険な期間が生まれました。これを防ぐためには： - ベンダーの透明性と迅速な対応 - 一時的な緩和策 - ネットワークの隔離 - インシデント対応の準備

国家レベルの活動の加速

国家主体の関与が疑われる事例は、ゼロデイ脆弱性も含め、攻撃者が事前に情報を蓄積している可能性を示唆します。組織は、未修正の脆弱性についても高度な攻撃者が既に知っていると想定すべきです。

今後のIvanti脆弱性：パターンの出現

CVE-2025-0282とCVE-2025-0283（2025年1月）

2025年1月、Ivantiは二つの重要な脆弱性を公開しました。CVE-2025-0282は、未認証のスタックバッファオーバーフローで、2024年12月中旬からUNC5221が積極的に悪用しています。

この後の攻撃から判明したのは： - 攻撃者は引き続きIvantiインフラを標的にしている - 同じ敵対者がこれらの製品に持続的に関心を持ち続けている - 組織は継続的な警戒が必要

CVE-2025-22457（2025年4月）

2025年4月、新たな重大脆弱性CVEs-2025-22457が発見されました。最初は悪用不能と考えられていましたが、UNC5221による高度な攻撃技術により脆弱性が証明されました。これは、文字制約のある脆弱性も攻撃可能であることを示しています。

組織への推奨事項

現在のIvantiユーザー向け

迅速なパッチ適用：リリースと同時にすべてのセキュリティアップデートを適用
継続的監視：VPNアプライアンスの常時監視と異常検知
定期的な監査：セキュリティ監査とペネトレーションテストの実施
インシデント対応計画：VPN侵害時の対応手順を策定・訓練
ベンダーとの連携：Ivantiサポートやセキュリティチームと密に連絡

セキュリティ意思決定者向け

多角化戦略：重要インフラに対し、単一ベンダー依存を避ける
ゼロトラストの導入：侵害想定し、継続的に検証
リスク評価：インターネット公開システムの安全性を定期的に評価
脅威情報の購読：インフラベンダーに特化した情報を入手
演習の実施：エッジデバイス侵害を想定した訓練

セキュリティ研究者向け

責任ある情報公開：ベンダーと連携しつつ、公開も促進
ツール開発：検知ツールやIOCの作成・共有
技術的詳細の公開：知識共有と進展を促進
共同研究：攻撃者より先に脆弱性チェーンを特定

結論

CVE-2024-21887とCVE-2023-46805の脆弱性チェーンは、エンタープライズセキュリティにおける重要な転換点です。世界中のVPNアプライアンスが侵害された事例は、巧妙な多段階攻撃に対しても、十分な防御策が必要であることを示しています。

この事例は、以下のセキュリティ原則を再確認させます：

多層防御の重要性：単一のセキュリティ対策だけでは防ぎきれません。複数の監視・検知層が必要です。

パッチ管理の徹底：公開と修正の間の期間を最小化し、迅速な対応がリスクを抑えます。

脅威情報の活用：攻撃者の動向を把握し、早期警戒と対応を行うことが重要です。

エッジデバイスのセキュリティ：VPNアプライアンスも、従来のデータセンターと同等の投資と管理が必要です。

2025年に向けて、エッジインフラに対する高度な攻撃のパターンは続きます。CVE-2024-21887/CVE-2023-46805からCVE-2025-0282、CVE-2025-22457への進化は、常に警戒と迅速な対応、そして多様な戦略の維持を求めています。

この二つの脆弱性によるノックアウトパンチは、現代のサイバー脅威に対して現代的な防御姿勢が必要であることを痛感させるものです。セキュリティを一時的な措置ではなく継続的なプロセスと捉える組織が、最も困難な攻撃を乗り越えることができるでしょう。

追加リソース

CISAアドバイザリー AA24-060B：Ivanti脆弱性の脅威アクター悪用に関する包括的ガイド
Ivantiセキュリティアドバイザリ：公式通知とパッチ情報
Volexityブログ：オリジナルの公開と技術分析
Mandiantインテリジェンス：脅威アクターの詳細とIOC共有
Tenableリサーチ：脆弱性スキャンプラグインと検知方法

最終更新：2024年12月