ソフトウェア企業のIvantiが、リモートアクセスツール「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」の脆弱(ぜいじゃく)性に対するパッチをリリースしてから2週間が経過したにもかかわらず、脅威アクターによるこれらのツールの悪用は続いている。 急なパッチ適用が新たな脆弱性を招いた Ivantiは2024年2月8日(現地時間、以下同)に、「CVE-2024-22024」として識別されている新しい脆弱性を内部プロセスによって発見したとの主張を撤回した(注1)(注2)。この脆弱性は、シンガポールを拠点とするセキュリティ企業watchTowrによって発見されたが、IvantiはwatchTowrによる発見を信用しなかった。 Ivantiの広報担当者は、電子メールで次のように述べた。 「当初、私たちは内部レビューにおいて問題のコードを発見した。その