CISAによる2月29日の勧告に関する情報を含むよう更新されました。これには、CISAのラボで観察された技術的な調査結果が含まれますが、これらは実環境では観察されておらず、実際の顧客環境では実行可能とは考えられていません。CISAおよび他の政府機関は、防御側が2月27日にリリースされたIvantiの更新された外部Integrity Checker Tool(ICT)を実行することを推奨しています。

お客様に対する最近の攻撃に関する徹底的な調査の一環として、IvantiとMandiantは本日、進化する脅威アクターのタクティクス、テクニック、およびプロシージャ(TTP)に関する調査結果を発表しました。これらの調査結果は、Ivanti Connect Secure、Policy Secure、およびZTAゲートウェイに影響を与える以前に開示された脆弱性の継続的な分析で特定されたもので、現在まで実環境で成功裏に展開されていないものの、当社が監視している潜在的な持続性技術が含まれています。

重要:これは新しいCVEではありません。また、当社およびセキュリティ・政府パートナーは、セキュリティアップデートと工場出荷時リセットの実装後の脅威アクターによる持続性成功の事例を把握していませんしかし、攻撃の積極的な性質を考慮し、お客様がこの高度に洗練された脅威に対して監視および更なる保護を行うための措置を講じることができるよう、関連情報を公開しています。

Ivantiは、お客様のアプライアンスとシステム上に存在するすべてのファイルに対する追加の可視性を提供する、外部Integrity Checker Tool(ICT)の新しい機能拡張をリリースしています。拡張された外部ICTは、お客様のスナップショットを復号化するためのサポートを必要としなくなります。新しいファイルおよび/または変更されたファイルが見つかった場合、外部ICTは、お客様自身のレビュー用に暗号化されていないスナップショットを提供します。スナップショットの内容を表示するためのガイダンスは、このナレッジベース記事(ログインが必要)にあり、スナップショットを解釈するためのリファレンスはこの記事にあります。念のため、ICTはデバイス上に存在するファイルのスナップショットです。これらのバイナリの変更を検出して、侵害の兆候を強調表示することができます。これはお客様のための追加のセキュリティレイヤーであり、常に継続的な監視ツールと併用することを意図しています。

Ivantiは、ナレッジベース記事で仮想アプライアンスに関する推奨事項も更新しました。これらの新しい手順は、以前に成功した工場出荷時リセットを完了していない、または新しいビルドを展開してアプライアンスにパッチを適用していない仮想アプライアンスを使用しているお客様にのみ適用されます。

Ivantiは、お客様が以下の措置を講じることを推奨します:

  • 既に成功した工場出荷時リセットを完了し、アプライアンスにパッチを適用したお客様については、内部および更新された外部ICTを引き続き実行し、これらの進化する技術を反映するように更新する必要がある継続的な監視を行うことが唯一の措置です。
  • 工場出荷時リセットを完了していない、または新しいビルドを展開してアプライアンスにパッチを適用していない仮想アプライアンスを使用しているお客様については、Ivantiは、工場出荷時リセットを実行するのではなく、Ivanti Connect Secureの新しいビルドを展開することを現在推奨しています。その理由は、仮想アプライアンスの工場出荷時リセットが一貫して成功していないため、推奨手順を更新したためです。
  • 繰り返しになりますが、以前にIvantiの手順に従い、クリーンなICTスキャンを受けた場合、追加の工場出荷時リセットを完了したり、(仮想アプライアンスの)新しいビルドを展開したりする必要はありません。

お客様は、このブログおよびナレッジベース記事FAQブログリカバリーナレッジベース記事で、最新の修復情報にアクセスできます。新しい情報が入手可能になり次第、これらのドキュメントを積極的に更新し続けます。

以前に開示された脆弱性の修復中にお客様が問題に遭遇した場合、当社のサポートチームが引き続きサポートいたします。

Ivantiのお客様は、Mandiantが公開したブログを確認してください。これには、工場出荷時リセットを通じて持続性を達成しようとする失敗した試みに関する追加のTTPおよび観察が概説されています。

更新:CISAおよび他の政府機関は、2月29日に、2月27日にIvantiとMandiantが発表した調査結果、およびCISAの技術ラボで開発された潜在的な持続性技術を含む以前の研究をまとめた共同勧告を発表しました。このラボベースの調査結果は、CISA、Ivanti、Mandiantのいずれも実環境で観察していないことに注意することが重要です。提示された証拠と当社チームによるさらなる分析に基づき、脅威アクターがこれをリモートで試みた場合、Ivanti Connect Secureへの接続が失われ、実際の顧客環境で持続性を獲得することはできないと考えています。さらに、パッチを適用し、成功した工場出荷時リセット(ハードウェア)を実行したか、新しいビルド(仮想)を展開したお客様は、CISAのレポートで概説されている活動によるリスクにさらされることはありません。

Ivanti、Mandiant、およびCISAは、既知の攻撃ベクトルを検出し、追加のファイルまたは変更されたファイルを検出するために、更新された外部ICTを使用することを推奨しています。Ivantiが強調してきたように、これは、他のセキュリティおよび監視ツールを補完するための、お客様の武器庫における有用で有益なセキュリティツールです。当社の推奨事項は、更新されたICTを継続的な監視と併用して使用することです。

当社は、リスクおよび進化する脅威アクターの技術を引き続き綿密にレビューしています。新しい調査結果が得られた場合、お客様の最善の利益のために情報を迅速に提供し、適切であれば修正をリリースしたり、ICTを強化したりします。この目的のために、当社はセキュリティおよび政府パートナーと積極的に連携し続けています。

当社は、お客様のセキュリティを非常に真剣に受け止めており、お客様とその業界が直面している増加する攻撃的な脅威に直面しても当社の製品が安全であり続けるよう、強化されたセキュリティプロセスとプロトコルを適用することに取り組んでいます。

主要なFAQ

2月27日および2月29日の勧告に続いて、お客様が講じるべき措置はありますか?

既に成功した工場出荷時リセット(ハードウェア)を完了したか、新しいビルド(仮想)を展開してアプライアンスにパッチを適用したお客様については、内部および更新された外部ICTを引き続き実行し、これらの進化する技術を反映するように更新する必要がある継続的な監視を行うために、IvantiとMandiantのガイダンスに従い続けることが唯一の措置です。

Ivantiおよび当社のセキュリティパートナーは、Ivantiが推奨するセキュリティアップデートおよび工場出荷時リセット(ハードウェア)/新しいビルド(仮想)の実装後の脅威アクターによる持続性成功の事例を把握していません。

まだパッチを適用していないお客様は、ナレッジベース記事に記載されている手順に直ちに従う必要があります。

繰り返しになりますが、以前にIvantiの手順に従い、引き続きクリーンなICTスキャンを受けている場合、追加の工場出荷時リセットを完了したり、(仮想アプライアンスの)新しいビルドを展開したりする必要はありません。

Integrity Checker Toolはお客様にとって効果的なツールですか?

はい、Ivanti、Mandiant、およびCISAは、既知の攻撃ベクトルを検出し、変更されたファイルおよび追加のファイルを検出するのに役立ち、継続的な監視と併用して使用する必要がある更新された外部ICTの使用を推奨しています。ICTは、既知の攻撃ベクトルに基づいて悪意のあるものが残されているかどうかを判断するのに効果的です。

Ivantiが強調してきたように、ICTは、他のツールと並行して活用すべき、お客様の武器庫における重要で有益なセキュリティツールです。継続的な監視は、潜在的な脅威を検出するために引き続き重要です。ICTは、アプライアンスの現在の状態のスナップショットとして意図的に設計されているため、アプライアンスがクリーンな状態に戻された場合、脅威アクターの活動を必ずしも検出できるわけではありません。スキャン間で行われた変更、マルウェア、およびその他のIndicators of Compromise(IoC)を監視するには、他のセキュリティツールを使用する必要があります。

ICTは、実環境で脅威アクターによって展開されている既知の脅威活動に特に焦点を当てるように設計されています。これにより、お客様にとって意味のある結果が最大化され、誤検出が最小化されます。これは、Mandiantがブログで効果的なツールとして検証しています。他の標準的なセキュリティ監視ツールは、他の活動を検出するように設計されています。

以前に開示されていない新しい脆弱性または侵害はありますか?

いいえ、新しいCVEはありません。Ivantiおよび当社のセキュリティおよび政府パートナーは、セキュリティアップデートおよび工場出荷時リセットの実装後の脅威アクターによる持続性成功の事例を把握していません。

Ivanti、Mandiant、およびCISAによって説明された新しい活動は、工場出荷時リセットを通じて持続性を維持しようとする限定的な試みに関連しており、これらは失敗に終わりました。また、CISAが開発した潜在的なラボベースの技術で、持続性を試みるために使用できると彼らが考えているものです。これらのいずれも実環境で成功裏に使用されていません。

提示された証拠と当社チームによるさらなる分析に基づき、CISAがその技術ラボで特定した技術では、脅威アクターが実際の顧客環境で検出されない持続性を成功裏に達成することはできないと考えていることに注意することが重要です。

Ivantiは、CISAがその技術ラボで特定した技術が実際の顧客環境で持続性を成功させることができないと結論付けたのはなぜですか?

Ivantiおよびその外部セキュリティ専門家は、CISAの技術的な調査結果を評価し、パッチが適用されていない実際の顧客環境に展開された場合、Ivanti Connect Secureへの接続が失われるため、リモートで実行することはできないと判断しました。したがって、この持続性のリスクは、実際の顧客展開では有効ではないと考えています。

持続性が失敗した場合、なぜIvantiとMandiantはこの情報を公開したのですか?

当社は、2月27日に、当社が監視している進化する脅威アクターの技術に関する関連情報を公開しました。これにより、防御側は、高度に洗練された攻撃的な攻撃に対してさらに自身を保護するための措置を講じることができます。お客様は、これらの技術が現在まで実環境で成功裏に展開されていないものの、この情報を自身の継続的な監視に組み込むことができます。

当社は、お客様が保護されていることを確認するための情報とツールを提供することに取り組んでおり、この目的のためにセキュリティおよび政府パートナーとも引き続き連携しています。

CISAは、Ivantiのお客様がマシンのプラグを抜くことを推奨していますか?

CISAは、組織にIvantiシステムを本番環境から永久に削除するよう指示したことはありません。連邦機関へのCISAの最初の指令は、手順の最初のステップのみを報告したメディアによって誤って解釈されました。CISAは、これを修正するために指令を更新し、その後2月9日に再度更新して、パッチ適用後に製品をオンにできることを絶対的に明確にしました。

CISAの2月29日の勧告は、以前の研究、および持続性を試みるために使用できると彼らが考えているラボベースの技術をまとめており、お客様にリスクを認識するよう助言しています。CISAのレポートで概説されている活動はリモートで実行できないと考えていることに注意することが重要です。

Ivanti Connect Secure製品に古いオープンソースパッケージバージョンが含まれているのはなぜですか?

製品の9.xバージョン用のハードウェアには、新しいLinuxカーネルを実行するのに十分なCPUがなく、そのため、カーネルの制限により古いオープンソースパッケージを使用する必要があります。当社はセキュリティ修正をバックポートしているため、製品はこれらの古いオープンソースパッケージに対して脆弱ではありません。CISAレポートの場合、バージョン番号は、バイナリパッケージの実際の表示または脆弱性があるかどうかの真の指標ではありません。セキュリティ修正のバックポートは、バイナリパッケージのバージョン番号を変更しないためです。

Ivanti Connect Secureのすべてのサポートされているバージョンは、The National Information Assurance Partnership(NIAP)によって認定されており、約20年間認定されています。これは、製品が米国国家安全保障システム調達のセキュリティ要件を満たしていることの検証です。

Ivanti Connect Secureの新しい22.xバージョンは、より強力なCPUを必要とする新しいLinuxカーネル上に構築されており、そのため、古いバージョンのオープンソースパッケージを含まず、追加のセキュリティ強化が可能な新しいプラットフォームであるISAを導入しました。

当社は、2022年7月に9.xハードウェアおよびソフトウェア製品のEnd-of-Life通知を正式にリリースしました。当社は、お客様がアプライアンスを22.xにリフレッシュするか、Ivanti Neurons for Zero Trust Accessでクラウドに移行するために積極的に取り組んでいます。

9.xの古いオープンソースコードを含む、Ivanti製品に存在するすべてのコードは、ivanti.comで入手可能な製品ドキュメントに含まれる当社のアトリビューションおよびSBOMに明確に記載されています。

すべてのよくある質問への回答はこちらでご覧いただけます。