米国 英国 オーストラリア カナダ ニュージーランド、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国がロシアや脆弱性についてのいくつかのアラートを出していますね。。。
こんにちは、丸山満彦です。
最近のセキュリティアラートは複数国で共同して発表するのが、通常となりましたかね...まぁ、名前はあがっているけど、サイトにいっても上がっていない場合もありますが...
Five Eyesはよく共同して発表していますね... 犯罪捜査から始まったものは、関係した国で共同して発表する感じですかね...
2月27日...
ロシアのサイバー犯罪者(GRU)が侵害したルーターを足がかりにサイバー攻撃をしているという話...
これは、米国、ベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国、英国の共同発表...(ファイブアイズでは、オーストラリア、カナダ、ニュージランドが入っていませんね...)
● ICS3
・2024.02.27 [PDF] Russian Cyber Actors Use Compromised Routers to Facilitate Cyber Operations
| Russian Cyber Actors Use Compromised Routers to Facilitate Cyber Operations | ロシアのサイバー犯罪者たちは、サイバー作戦を促進するために侵害されたルーターを使用している。 |
| SUMMARY | 概要 |
| Actions EdgeRouter network defenders and users should implement to protect against APT28 activity: | EdgeRouterネットワークの防御者とユーザーは、APT28の活動から保護するために実施すべきアクションを示す: |
| • Perform a hardware factory reset. | • ハードウェアの工場出荷時リセットを実行する。 |
| • Upgrade to the latest firmware version. | • 最新のファームウェアバージョンにアップグレードする。 |
| • Change any default usernames and passwords. | • デフォルトのユーザー名とパスワードを変更する。 |
| • Implement strategic firewall rules on WAN-side interfaces. | • WAN側インターフェースに戦略的ファイアウォールルールを導入する。 |
| The Federal Bureau of Investigation (FBI), National Security Agency (NSA), US Cyber Command, and international partners are releasing this joint Cybersecurity Advisory (CSA) to warn of Russian state-sponsored cyber actors’ use of compromised Ubiquiti EdgeRouters (EdgeRouters) to facilitate malicious cyber operations worldwide. The FBI, NSA, US Cyber Command, and international partners – including authorities from Belgium, Brazil, France, Germany, Latvia, Lithuania, Norway, Poland, South Korea, and the United Kingdom -- assess the Russian General Staff Main Intelligence Directorate (GRU), 85th Main Special Service Center (GTsSS), also known as APT28, Fancy Bear, and Forest Blizzard (Strontium), have used compromised EdgeRouters globally to harvest credentials, collect NTLMv2 digests, proxy network traffic, and host spear-phishing landing pages and custom tools. | 連邦捜査局(FBI)、国家安全保障局(NSA)、米国サイバー軍、および国際的なパートナーは、ロシア国家に支援されたサイバー行為者が、侵害されたUbiquiti社のEdgeRouter (EdgeRouter)を使用して、世界中で悪意のあるサイバー活動を促進していることを警告するため、この共同サイバーセキュリティ勧告(CSA)を発表する。FBI、NSA、米国サイバー軍、およびベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国、英国の当局を含む国際的パートナーは、APT28、Fancy Bear、Forest Blizzard(Strontium)としても知られるロシア参謀本部情報総局(GRU)第85特別サービスセンター(GTsSS)が、侵害されたEdgeRouterを世界的に使用して、認証情報の取得、NTLMv2ダイジェストの収集、ネットワークトラフィックのプロキシ、スピアフィッシングのランディングページやカスタムツールのホスティングを行っていると評価している。 |
| The U.S. Department of Justice, including the FBI, and international partners recently disrupted a GRU botnet consisting of such routers. However, owners of relevant devices should take the remedial actions described below to ensure the long-term success of the disruption effort and to identify and remediate any similar compromises. | FBIを含む米国司法省と国際的なパートナーは最近、このようなルーターで構成されるGRUボットネットを破壊した。しかし、関連デバイスの所有者は、破壊活動を長期的に成功させ、同様の侵害を特定して修復するために、以下に説明する是正措置を講じるべきである。 |
これは昨日、このブログに書いた話...
ロシア対外情報庁(SVR)による攻撃手法についてのFive Eyesの関連機関のアラート
● U.K. National Cyber Security Centre
・2024.02.26 SVR cyber actors adapt tactics for initial cloud access
・[PDF]
| SVR cyber actors adapt tactics for initial cloud access | SVRサイバーアクターはクラウドへの初期アクセスに戦術を適応させる |
| How SVR-attributed actors are adapting to the move of government and corporations to cloud infrastructure | 政府や企業のクラウドインフラへの移行に、SVRのサイバー攻撃者はどのように適応しているのか。 |
| Overview | 概要 |
| This advisory details recent tactics, techniques and procedures (TTPs) of the group commonly known as APT29, also known as Midnight Blizzard, the Dukes or Cozy Bear. | 本アドバイザリでは、Midnight Blizzard、Dukes、Cozy Bearとしても知られる通称APT29の最近の戦術、技術、手順(TTP)について詳述する。 |
| The UK National Cyber Security Centre (NCSC) and international partners assess that APT29 is a cyber espionage group, almost certainly part of the SVR, an element of the Russian intelligence services. The US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Cyber National Mission Force (CNMF), the Federal Bureau of Investigation (FBI), Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), the Canadian Centre for Cyber Security (CCCS) and the New Zealand National Cyber Security Centre (NCSC) agree with this attribution and the details provided in this advisory. | 英国国家サイバーセキュリティセンター(NCSC)と国際的なパートナーは、APT29 はサイバースパイグループであり、ロシア情報機関の一部門である SVR の一部であることはほぼ間違いないと評価している。米国国家安全保障局(NSA)、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米国サイバー国家任務部隊(CNMF)、連邦捜査局(FBI)、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ASD's ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC)は、この帰属と本アドバイザリで提供する詳細に同意している。 |
| This advisory provides an overview of TTPs deployed by the actor to gain initial access into the cloud environment and includes advice to detect and mitigate this activity. | このアドバイザリでは、クラウド環境に最初にアクセスするために行為者によって展開されたTTPの概要を提供し、この活動を検知し軽減するためのアドバイスを含む。 |
そして29日にFive Eyesの関連機関によるIvanti社製品の脆弱性についての追加アラート
● CISA
プレス...
・2024.02.29 CISA, U.S. and International Partners Warn of Ongoing Exploitation of Multiple Ivanti Vulnerabilities
| CISA, U.S. and International Partners Warn of Ongoing Exploitation of Multiple Ivanti Vulnerabilities | CISA、米国および国際的パートナーが複数のIvanti脆弱性の継続的な悪用を警告する |
| Advisory provides guidance for detecting exploitation activity, recommended actions and mitigations, and novel post-exploitation findings | 勧告では、悪用行為の検知、推奨される措置と低減、および悪用後の新たな発見に関するガイダンスを提供する。 |
| WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Multi-State Information Sharing & Analysis Center (MS-ISAC), Australian Signals Directorate’s Australian Cyber Security Center (ASD’s ACSC), United Kingdom’s National Cyber Security Centre (NCSC), Canadian Centre for Cyber Security (Cyber Centre), a part of the Communications Security Establishment, and New Zealand’s National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team (CERT-NZ) released a Cybersecurity Advisory (CSA) today in response to the active exploitation of multiple vulnerabilities within Ivanti Connect Secure and Ivanti Policy Secure gateways. | ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、複数州情報共有・分析センター(MS-ISAC)、オーストラリア信号総局オーストラリア・サイバーセキュリティ・センター(ASD's ACSC)、英国国家サイバーセキュリティセンター(NCSC)、カナダ・サイバーセキュリティセンター(Cyber Centre)、 およびニュージーランドの国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チーム(CERT-NZ)は本日、Ivanti Connect Secure および Ivanti Policy Secure ゲートウェイ内の複数の脆弱性が積極的に悪用されていることを受け、サイバーセキュリティ勧告(CSA)を発表した。 |
| The authoring organizations and industry partners have observed persistent targeting of these vulnerabilities by a variety of cyber threat actors. These vulnerabilities (CVE-2023-46805, CVE-2024-21887, and CVE-2024-21893) can be used in a chain of exploits to bypass authentication, craft malicious requests, and execute arbitrary commands with elevated privileges. In turn, exploitation of these vulnerabilities may allow lateral movement, data exfiltration, web shell deployment, credential theft including domain administrators, and persistent access on a target network. | 認可組織と業界パートナーは、さまざまなサイバー脅威行為者によってこれらの脆弱性が執拗に狙われていることを確認している。これらの脆弱性(CVE-2023-46805、CVE-2024-21887、CVE-2024-21893)は、本人認証をバイパスし、悪意のあるリクエストを作成し、昇格した権限で任意のコマンドを実行するための悪用の連鎖で使用される可能性がある。これらの脆弱性を悪用することで、横方向への移動、データの流出、ウェブシェルの展開、ドメイン管理者を含むクレデンシャルの窃取、ターゲットネットワーク上での永続的なアクセスが可能になる可能性がある。 |
| This joint advisory provides technical details on observed tactics used by these threat actors and indicators of compromise to help organizations detect malicious activity. All organizations using these devices should assume a sophisticated threat actor could achieve persistence and may lay dormant for a period of time before conducting malicious activity. Organizations are urged to exercise due caution in making appropriate risk decisions when considering a virtual private network (VPN), to include whether to continue operating these Ivanti devices. | この共同アドバイザリでは、これらの脅威行為者が使用する観測された手口に関する技術的な詳細と、組織が悪意のある活動を検知するのに役立つ侵害の指標を提供する。これらのデバイスを使用しているすべての組織は、巧妙な脅威行為者が永続性を獲得し、悪意のある活動を行う前に一定期間休眠する可能性があることを想定すべきである。組織は、仮想プライベート・ネットワーク(VPN)を検討する際に、これらのIvantiデバイスの運用を継続するかどうかも含め、適切なリスク判断を下す際に十分な注意を払うよう強く求められる。 |
| “Since initial disclosure of these vulnerabilities, CISA and our partners have urgently worked to provide actionable guidance and assist impacted victims. This includes an emergency directive to remove and rebuild vulnerable Ivanti devices to reduce risk to federal systems upon which Americans depend,” said CISA Executive Assistant Director Eric Goldstein. “Today’s joint advisory provides further details based upon industry partnerships, incident response findings and evaluations of the relevant products. Every organization using these products are strongly encouraged to adopt the actions outlined in this advisory.” | CISAエグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタインは次のように述べた。「これらの脆弱性が最初に公表されて以来、CISAと我々のパートナーは、実行可能なガイダンスを提供し、影響を受けた被害者を支援するために緊急に取り組んできた。これには、米国人が依存している連邦政府システムに対するリスクを軽減するために、脆弱性のあるIvantiデバイスを削除して再構築する緊急指令も含まれている。本日の共同勧告は、業界とのパートナーシップ、インシデント対応の結果、および関連製品の評価に基づき、さらなる詳細を提供するものである。これらの製品を使用しているすべての組織は、この勧告に概説されている行動を採用することが強く推奨される。」 |
| “The FBI and our partners are releasing this Cybersecurity Advisory so that organizations are able to protect themselves from malicious actors exploiting their networks,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “Private and public sector entities should follow the guidance included in this advisory to ensure these critical vulnerabilities are mitigated.” | FBIサイバー部門のブライアン・ボルドラン次長は次のように述べた。「FBIと我々のパートナーは、組織がネットワークを悪用する悪意ある行為者から身を守ることができるように、このサイバーセキュリティ勧告を発表する。民間および公共部門の事業体は、この勧告に含まれるガイダンスに従って、これらの重要な脆弱性を確実に低減する必要がある。」 |
| “The continued targeting of widely used security applications and appliances speaks to the determination of cyber threat actors, with government entities and private organizations alike caught in the crosshairs. Implementing effective controls in areas like asset and vulnerability management, multi-factor authentication, and incident response planning are essential to operational resilience amid today's fast-moving threat landscape,” said Randy Rose, VP, Security Operations & Intelligence, Center for Internet Security, Inc. | センター・フォー・インターネット・セキュリティ社、セキュリティ・オペレーション・インテリジェンス担当副社長のランディ・ローズは、次のように述べた。「広く使用されているセキュリティ・アプリケーションやアプライアンスが標的とされ続けていることは、サイバー脅威行為者の決意を物語っており、事業体も民間組織も同様にその矢面に立たされている。資産管理、脆弱性管理、多要素認証、インシデント対応計画などの分野で効果的な管理策を導入することは、今日の目まぐるしく変化する脅威の状況の中で、運用のレジリエンスを高めるために不可欠である。」 |
| “We strongly urge all organisations to patch and take other recommended actions to address this vulnerability. We know it is subject to exploitation by malicious actors who use it to bypass authentication mechanisms and access restricted data on affected devices,” said the acting Head of the Australian Cyber Security Centre, Phil Winzenberg. “If your organisation is using these products, it’s crucial that the guidance in this advisory is implemented immediately, in particular I urge critical infrastructure operators to be alert to new risks.” | オーストラリア・サイバーセキュリティセンターのフィル・ウィンゼンバーグ代表代行は次のように述べた。 「我々は、すべての組織がこの脆弱性に対処するためにパッチを適用し、その他の推奨される措置を講じることを強く求める。私たちは、この脆弱性を悪意のある行為者が悪用し、本人認証をバイパスして、影響を受けたデバイス上の制限されたデータにアクセスする可能性があることを知っている。あなたの組織がこれらの製品を使用している場合、この勧告のガイダンスを直ちに実行することが極めて重要であり、特に重要なインフラ運用者には、新たなリスクに注意するよう促す。」 |
| “We encourage organisations who have not already to take immediate action to mitigate vulnerabilities impacting affected Ivanti devices by following the recommended steps. This is particularly important for those organisations working across critical infrastructure, as we are aware of the active exploitation of some of these vulnerabilities,” said UK NCSC Chief Technology Officer Ollie Whitehouse. “The NCSC and our international partners also urge software manufacturers to embed secure by design principles into their practices to promote a positive security culture and help improve our collective resilience.” | 英国NCSCの最高技術責任者(CTO)オリー・ホワイトハウスは次のように述べた。 「我々は、影響を受けるIvantiデバイスに影響を与える脆弱性を軽減するために、推奨されるステップに従って直ちに行動を起こすことを、まだ実行していない組織に奨励する。これらの脆弱性の一部が活発に悪用されていることを認識しているため、これは重要なインフラに携わる事業者にとって特に重要である。NCSCと我々の国際的なパートナーはまた、ソフトウェア製造事業者に対し、セキュア・バイ・デザインの原則を実務に組み込み、積極的なセキュリティ文化を促進し、我々の集団的なレジリエンスの改善を支援するよう強く求めている。」 |
| “Today we join our partners across the Five Eyes to urge organizations in Canada and internationally to follow the advice included in today’s joint advisory as quickly as possible. These vulnerabilities can significantly impact organizations’ networks, emphasizing the need for organizations to implement resilient defence-in-depth mitigations and for manufacturers to prioritize secure by design engineering practices,” said Rajiv Gupta, Associate Head, Canadian Centre for Cyber Security. | ラジブ・グプタ、カナダ・サイバーセキュリティセンター副所長は次のように述べた。「本日、我々はファイブ・アイズのパートナーとともに、カナダ国内外の組織に対し、本日の共同勧告に含まれるアドバイスにできるだけ早く従うよう促す。これらの脆弱性は、組織のネットワークに大きな影響を与える可能性があり、組織がレジリエンシー(深層防御)による軽減策を導入し、製造事業者がセキュア・バイ・デザイン・エンジニアリングを優先する必要性を強調している。」 |
| “This advisory clearly shows that malicious actors are continuing to seek out, and actively exploit, vulnerabilities in commonly used technology and software”, said Rob Pope, Director CERT NZ, a part of New Zealand’s National Cyber Security Centre. “Businesses need to stay alert to these vulnerabilities and immediately follow all steps to mitigate or prevent attacks from happening. We strongly recommend that anyone working in the IT sector sign up for updates from their country’s cyber security agencies to stay ahead of the bad guys.” | ロブ・ポープ、ニュージーランド国立サイバーセキュリティセンターの一部であるCERT NZ所長は次のように述べている。「この勧告は、悪意ある行為者が一般的に使用されている技術やソフトウェアの脆弱性を探し求め、積極的に悪用し続けていることを明確に示している。企業はこれらの脆弱性に常に注意を払い、攻撃を軽減または未然に防ぐためのあらゆる手段を直ちに講じる必要がある。私たちは、IT部門で働くすべての人が、悪者の先を行くために、自国のサイバーセキュリティ機関のアップデートにサインアップすることを強く推奨する。」 |
| To assist organizations with understanding the impacts of this threat, the joint advisory provides key findings from a variety of tests conducted by CISA from an attacker’s perspective. | この脅威の影響を理解する上で組織を支援するため、共同勧告では、CISAが攻撃者の視点から実施したさまざまなテストから得られた主要な知見を提供している。 |
| With our partners, CISA recommends that software manufacturers incorporate secure-by-design and -default principles and tactics into their software development practices. By aligning to these principles, we will reduce the prevalence and impact of avoidable vulnerabilities and insecure configurations that jeopardize the safety of organizations around the world. | CISAは、パートナーとともに、ソフトウェア製造事業者に対し、セキュア・バイ・デザインおよびデフォルトの原則と戦術をソフトウェア開発の実践に取り入れることを推奨している。これらの原則に合わせることで、世界中の組織の安全を脅かす回避可能な脆弱性や安全でない設定の普及と影響を減らすことができる。 |
| All organizations are urged to review the advisory and implement recommended actions and mitigations. | すべての組織は、この勧告を確認し、推奨される対策と低減を実施することが強く求められる。 |
アラート
・2024.02.29 Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways
| Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways | 脅威行為者が Ivanti Connect Secure および Policy Secure Gateway の複数の脆弱性を悪用する |
| AA24-060B | AA24-060B |
| ACTIONS TO TAKE TODAY TO MITIGATE CYBER THREATS AGAINST IVANTI APPLIANCES: | Ivanti アプライアンスに対するサイバー脅威を軽減するために今すぐ実行すべきアクション |
| ・Limit outbound internet connections from SSL VPN appliances to restrict access to required services. | ・SSL VPN アプライアンスからの送信インターネット接続を制限し、必要なサービスへのアクセスを制限する。 |
| ・Keep all operating systems and firmware up to date. | ・すべてのオペレーティング・システムとファームウェアを最新の状態に保つ。 |
| ・Limit SSL VPN connections to unprivileged accounts. | ・SSL VPN 接続を非特権アカウントに制限する。 |
| SUMMARY | 概要 |
| The Cybersecurity and Infrastructure Security Agency (CISA) and the following partners (hereafter referred to as the authoring organizations) are releasing this joint Cybersecurity Advisory to warn that cyber threat actors are exploiting previously identified vulnerabilities in Ivanti Connect Secure and Ivanti Policy Secure gateways. CISA and authoring organizations appreciate the cooperation of Volexity, Ivanti, Mandiant and other industry partners in the development of this advisory and ongoing incident response activities. Authoring organizations: | サイバーセキュリティ・インフラセキュリティ庁(CISA)および以下のパートナー(以下、識別組織)は、サイバー脅威行為者がIvanti Connect SecureおよびIvanti Policy Secureゲートウェイの以前に識別された脆弱性を悪用していることを警告するために、この共同サイバーセキュリティアドバイザリを公開する。CISAと認可機関は、この勧告の策定と現在進行中のインシデント対応活動におけるVolexity、Ivanti、Mandiantおよびその他の業界パートナーの協力に感謝する。認可団体 |
| Federal Bureau of Investigation (FBI) | 連邦捜査局(FBI) |
| Multi-State Information Sharing & Analysis Center (MS-ISAC) | 複数州情報共有・分析センター(MS-ISAC) |
| Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) | オーストラリア信号総局オーストラリア・サイバー・セキュリティ・センター(ASD's ACSC) |
| United Kingdom National Cyber Security Centre (NCSC-UK) | 英国国家サイバーセキュリティセンター(NCSC-UK) |
| Canadian Centre for Cyber Security (Cyber Centre), a part of the Communications Security Establishment | カナダ・サイバーセキュリティセンター(Cyber Centre)(コミュニケーション・セキュリティ・エスタブリッシュメントの一部 |
| New Zealand National Cyber Security Centre (NCSC-NZ) | ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ) |
| CERT-New Zealand (CERT NZ) | CERTニュージーランド(CERT NZ) |
| Of particular concern, the authoring organizations and industry partners have determined that cyber threat actors are able to deceive Ivanti’s internal and external Integrity Checker Tool (ICT), resulting in a failure to detect compromise. | 特に懸念されるのは、認可組織と業界パートナーは、サイバー脅威行為者がIvantiの内部および外部のインテグリティ・チェッカー・ツール(ICT)を欺くことができ、結果として侵害を検知できないと判断したことである。 |
| Cyber threat actors are actively exploiting multiple previously identified vulnerabilities—CVE-2023-46805, CVE-2024-21887, and CVE-2024-21893—affecting Ivanti Connect Secure and Ivanti Policy Secure gateways. The vulnerabilities impact all supported versions (9.x and 22.x) and can be used in a chain of exploits to enable malicious cyber threat actors to bypass authentication, craft malicious requests, and execute arbitrary commands with elevated privileges. | サイバー脅威行為者は、Ivanti Connect SecureおよびIvanti Policy Secureゲートウェイに影響を及ぼす、以前に識別された複数の脆弱性(CVE-2023-46805、CVE-2024-21887、CVE-2024-21893)を積極的に悪用している。脆弱性は、サポートされるすべてのバージョン(9.xおよび22.x)に影響し、悪意のあるサイバー脅威行為者が認証を回避し、悪意のあるリクエストを作成し、昇格した特権で任意のコマンドを実行することを可能にする悪用の連鎖で使用される可能性がある。 |
| During multiple incident response engagements associated with this activity, CISA identified that Ivanti’s internal and previous external ICT failed to detect compromise. In addition, CISA has conducted independent research in a lab environment validating that the Ivanti ICT is not sufficient to detect compromise and that a cyber threat actor may be able to gain root-level persistence despite issuing factory resets. | この活動に関連する複数のインシデント対応業務において、CISAは、Ivantiの内部及び以前の外部ICTが侵害を検知できなかったことを確認した。さらに、CISA はラボ環境で独自の調査を実施し、Ivanti の ICT は侵害を検知するのに十分ではなく、サイバー脅威行為者は工場出荷時のリセットを発行してもルートレベルの永続性を獲得できる可能性があることを検証した。 |
| The authoring organizations encourage network defenders to (1) assume that user and service account credentials stored within the affected Ivanti VPN appliances are likely compromised, (2) hunt for malicious activity on their networks using the detection methods and indicators of compromise (IOCs) within this advisory, (3) run Ivanti’s most recent external ICT, and (4) apply available patching guidance provided by Ivanti as version updates become available. If a potential compromise is detected, organizations should collect and analyze logs and artifacts for malicious activity and apply the incident response recommendations within this advisory. | 認可プロバイダは、ネットワーク防御者に対し、(1)影響を受けるIvanti VPNアプライアンス内に保存されているユーザおよびサービスアカウントの認証情報が侵害されている可能性が高いことを想定し、(2)本アドバイザリ内の検知方法および侵害の指標(IOC)を使用してネットワーク上の悪意のある活動を探索し、(3)Ivantiの最新の外部ICTを実行し、(4)バージョン更新が利用可能になった時点でIvantiが提供する利用可能なパッチ適用ガイダンスを適用することを推奨する。潜在的な侵害が検知された場合、組織は、悪意のある活動に関するログとアーティファクトを収集、分析し、本アドバイザリ内のインシデント対応に関する推奨事項を適用すること。 |
| Based upon the authoring organizations’ observations during incident response activities and available industry reporting, as supplemented by CISA’s research findings, the authoring organizations recommend that the safest course of action for network defenders is to assume a sophisticated threat actor may deploy rootkit level persistence on a device that has been reset and lay dormant for an arbitrary amount of time. For example, as outlined in PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure), sophisticated actors may remain silent on compromised networks for long periods. The authoring organizations strongly urge all organizations to consider the significant risk of adversary access to, and persistence on, Ivanti Connect Secure and Ivanti Policy Secure gateways when determining whether to continue operating these devices in an enterprise environment. | 認可機関は、インシデント対応活動における認可機関の観察および入手可能な業界報告に基づき、また CISA の調査結果に補足されるように、ネットワーク防御者にとって最も安全な行動方針は、高度な脅威行為者が、リセッ トされたデバイス上にルートキットレベルの永続性を展開し、任意の時間休眠する可能性を想定することである。例えば、『PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure(中国国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する)』で概説したように、巧妙な行為者は侵害されたネットワーク上で長期間沈黙を保つ可能性がある。認可組織は、エンタープライズ環境でこれらのデバイスの運用を継続するかどうかを決定する際に、Ivanti Connect Secure および Ivanti Policy Secure ゲートウェイへの敵対者のアクセスおよび持続的なアクセスの重大なリスクを考慮するよう、すべての組織に強く要請する。 |
| Note: On February 9, 2024, CISA issued Emergency Directive (ED) 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities, which requires emergency action from Federal Civilian Executive Branch (FCEB) agencies to perform specific actions on affected products. | 注:2024年2月9日、CISAは緊急指令(ED)24-01を発行した: Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性を低減せよ。この指令は、連邦文民行政機関(FCEB)が影響を受ける製品に対して特定の措置を実行するよう緊急措置を要求するものである。 |
| The Canadian Centre for Cyber Security also issued an alert, Ivanti Connect Secure and Ivanti Policy Secure gateways zero-day vulnerabilities, which provides periodic updates for IT professionals and managers affected by the Ivanti vulnerabilities. | また、カナダ・サイバーセキュリティセンターは、Ivantiの脆弱性の影響を受けるIT専門家や管理者向けに定期的な最新情報を提供するアラート「Ivanti Connect SecureおよびIvanti Policy Secureゲートウェイのゼロデイ脆弱性」を発表している。 |
● まるちゃんの情報セキュリティ気まぐれ日記
ロシア関係
・2024.02.29 Five eyes ロシア対外情報庁による攻撃手法。時代はクラウドですからね...
Ivanti社製品の脆弱性関係
・2021.04.30 NISC ランサムウエアによるサイバー攻撃に関する注意喚起について
Comments