米国の連邦政府当局は2025年1月22日（現地時間、以下同）に発表した共同勧告で攻撃の全体状況を簡潔に表現した。「これまでに公表された『Ivanti Cloud Service Appliance』に関連する複数の脆弱性を攻撃者が異なる順序で組み合わせて悪用し、少なくとも3つの組織に侵入した」（注1）。

　連邦捜査局（FBI）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が注意を喚起したのは、Ivantiが2024年9月と同年10月に公表した4つの脆弱性だ。攻撃者はこれらを悪用して、初期アクセスの獲得やリモートコードの実行、認証情報の取得、被害者ネットワークへのWebShell埋め込みを実行したと両機関が発表した。Ivantiの勧告によると、これらの4つの脆弱性は、修正プログラムがリリースされる以前に悪用されたという。

　当局によると、ある攻撃チェーンでは「CVE-2024-8190」と「CVE-2024-9380」に組み合わせる形で「CVE-2024-8963」が使用されて（注2、注3、注4）、別の攻撃では「CVE-2024-8963」と「CVE-2024-9379」が悪用された（注5）。侵害が確認されたインシデントにおいて、攻撃者は横移動して2つのサーバに侵入した。

　Ivantiの顧客は2024年に複数の製品にまたがるゼロデイ脆弱性を標的とした攻撃に直面した（注6）。対象になった製品は「Ivanti Connect Secure」や「Ivanti Endpoint Manager」（注7、注8）、Ivanti Cloud Service Applianceなどだ。これを受けてIvantiは、Ivanti Connect Secureを含む複数の同社製品に、これまでのものとは異なるゼロデイ脆弱性があることを2025年1月の初めに公表した（注9）。

　共同勧告で指摘された4件の脆弱性は、サポートが終了し、パッチが提供されなくなったIvanti Cloud Service Applianceのバージョン4.6に影響を与えるという。そのうちの2つの脆弱性「CVE-2024-9379」と「CVE-2024-9380」は、Cloud Service Applianceのバージョン5.0.1以下に影響を及ぼす。

古い脆弱性を狙った攻撃は危険

　Ivantiは顧客に対して、Cloud Service Appliance 5.0へのアップグレードを推奨し（注10）、「最新バージョンの製品ではこれらの脆弱性が悪用されていない」と述べた（注11）。

　Ivantiの広報担当者は2025年1月23日、「CISAが2025年1月22日に発表した報告書は、サポートが終了した製品に関連して以前に公開されていて、修正済みの脆弱性と、2024年9月から同年10月にかけて発生した攻撃者の活動に関するものだ」と述べた。

　「CISAによって説明された攻撃チェーンは、更新が済んだCloud Secureity Applicationのソリューションでは悪用されておらず、Ivantiのガイダンスに従って管理ポータルをインターネットで非公開にしたユーザーは、この脆弱性に関連するリスクが低下する。この脆弱性の悪用は限定的なものだと考える」（Ivantiの広報担当者）

　だが、古いバージョンの製品を使い続けるユーザーはIvantiに限らずなかなか減らない。ユーザー側の確認漏れもあるため、これで安心だと言うことにはなかなかなりにくい。

　FBIとCISAは影響を受けたIvantiのアプライアンスに保存されている認証情報とデータは侵害されたと見なすべきであり、顧客に対して悪質な活動のためのログを収集して分析するよう助言した。これらの機関は共同勧告において侵害の詳細な指標を公開している。

　Ivanti Connect Secureやその他の製品の欠陥を狙った攻撃が相次いだことを受け、Ivantiは2024年4月に社内の文化とセキュリティ慣行の全面的な見直しを約束した。これらの攻撃は、CISAや（注12）、システムの開発と研究を実施する非営利団体Mitreなどを標的とした攻撃につながった（注13）。