セキュリティ

SECURITY

公開：2025-02-22

【CVE-2024-13842】Ivanti製品にハードコードキーの脆弱性が発見、管理者権限で機密データにアクセス可能な状態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ivantiの製品に重大な脆弱性が発見
• Connect SecureとPolicy Secureの2製品が影響を受ける
• 管理者権限で機密データの読み取りが可能に

Ivanti製品のハードコードキーによる脆弱性を確認【CVE-2024-13842】

Ivantiは2025年2月11日、同社のConnect SecureとPolicy Secureに影響を与える重大な脆弱性【CVE-2024-13842】を公開した。Connect Secureのバージョン22.7R2.3未満とPolicy Secureのバージョン22.7R1.3未満において、ハードコードされた暗号化キーの存在により、管理者権限を持つローカル認証済み攻撃者が機密データを読み取ることが可能な状態となっていることが判明している。^[1]

この脆弱性はCWE-321（ハードコードされた暗号化キーの使用）に分類され、CVSSスコアは6.0（MEDIUM）と評価されている。攻撃元区分はローカル、攻撃条件の複雑さは低く、必要な特権レベルは高いとされており、ユーザーの関与は不要で、スコープへの影響が確認されている。

Ivantiはすでに対策版となるConnect Secureバージョン22.7R2.3およびPolicy Secureバージョン22.7R1.3をリリースしており、影響を受ける可能性のあるユーザーに対して、速やかなアップデートを推奨している。この脆弱性は機密情報の漏洩につながる可能性があるため、システム管理者は早急な対応が求められる状況だ。

Ivanti製品の脆弱性詳細

詳細についてはこちら

ハードコードされた暗号化キーについて

ハードコードされた暗号化キーとは、ソフトウェアのソースコード内に直接埋め込まれた暗号化キーのことを指す。主な特徴として、以下のような点が挙げられる。

• ソースコード内に静的に組み込まれた暗号化キー
• キーの変更や更新が困難な状態
• コードの解析により発見される可能性が高い

この脆弱性は、暗号化キーがソフトウェアに直接組み込まれているため、攻撃者がコードを解析することで機密情報にアクセスできる可能性を生む。Ivantiの事例では、管理者権限を持つ攻撃者が機密データを読み取ることができる状態となっており、情報セキュリティの観点から早急な対応が必要だ。

Ivanti製品の脆弱性に関する考察

Ivantiの製品における暗号化キーのハードコーディングは、開発効率や運用の簡素化を目的としていた可能性があるが、セキュリティ上の重大なリスクを内包している。特に管理者権限を持つ攻撃者による機密データへのアクセスが可能となる点は、企業の情報資産管理において深刻な脅威となるだろう。

今後は同様の脆弱性を防ぐため、暗号化キーの動的な生成や定期的なローテーションなど、より強固なセキュリティ設計が求められる。特に重要なのは、開発段階からのセキュリティレビューの徹底と、定期的なセキュリティ監査の実施による早期発見の仕組み作りだ。

また、製品のセキュリティアップデートの配信体制や、ユーザーへの情報提供の方法についても改善の余地がある。脆弱性が発見された際の迅速な対応と、影響を受けるユーザーへの明確な情報提供が、製品の信頼性向上につながるはずだ。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2024-13842, (参照 25-02-22).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧