狙われるIvanti製VPN 約900件のインスタンスがゼロデイを未修正:Cybersecurity Dive
The Shadowserver Foundationは、VPN製品「Ivanti Connect Secure」にはゼロデイ脆弱性が存在し、約900件のインスタンスが未修正で、攻撃の危険性があると指摘した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ研究者たちは、「Ivanti Connect Secure」のVPNに関するアプライアンスを含めて、Ivantiの3つの製品に影響を与える重大なゼロデイ脆弱(ぜいじゃく)性の被害範囲と潜在的な影響を特定するために奮闘している(注1)。
ゼロデイ脆弱性に対して約900件のインスタンスが未修正
脆弱性調査を実施する非営利組織であるThe Shadowserver Foundationが実施したスキャンによると、2025年1月13日(現地時間、以下同)の時点で修正されていないIvanti Connect Secureのインスタンスが約900件存在することが明らかになった(注2)。
これらのデバイスは攻撃を受ける危険性が高いとされている。なお、同組織のスキャンによって特定されたインスタンスの中で、未修正の脆弱性を抱えた製品は、同年1月9日の時点で2000件以上存在しており、同年1月13日には、その数は徐々に減少していった(注3)。
The Shadowserver Foundationは、175カ国を対象に200以上の国家コンピュータセキュリティインシデント対応チームと連携し、悪質な活動を分析、共有する非営利団体だ。同団体は、これらのインスタンスが修正されていないことを、どのような方法で確認したのかは公表していない。同団体のピョートル・キエフスキ氏(CEO)は、2025年1月10日に「Cybersecurity Dive」に対して送付した電子メールで「これまでに誤検知に関するフィードバックは一切受けていない」と述べた。
Ivantiの製品のソフトウェアに関する欠陥を悪用して、これまでに実行されたサイバー攻撃を踏まえて、研究者たちは、この度のゼロデイ脆弱性が広い範囲で悪用される恐れがあると懸念している。
サイバーセキュリティ事業を営むRapid7で脆弱性インテリジェンスに関連する業務を担当するケイトリン・コンドン氏(ディレクター)は、電子メールで次のように述べた。
「特定のベンダーに関係なく、組織の環境において、通常広く外部にさらされている技術に対して積極的に活動する脅威グループが新たな攻撃手法を見つけたとしても、それは驚くべきことではない」
認証不要の深刻なスタックベースのバッファオーバーフローに関する脆弱性「CVE-2025-0282」は(注4)、約1年前に脅威グループが同様のIvanti製品における別々のゼロデイ脆弱性「CVE-2023-46805」および「CVE-2024-21887」を悪用したのとほぼ同時期に発見された(注5)(注6)(注7)。
Ivanti Connect Secureは、新たなゼロデイ脆弱性に関する積極的な悪用の影響を受けていることが確認されている数少ない製品だが、「CVE-2025-0282」は「Ivanti Policy Secure」および「Ivanti Neurons for ZTA」のゲートウェイにも影響を及ぼしている。
Ivantiは「『CVE-2025-0282』がIvanti Policy SecureおよびIvanti Neurons for ZTAのゲートウェイで積極的に悪用されている証拠は確認されていない」と述べており、これらの製品向けのパッチを2025年1月21日にリリースする予定だ。
Ivantiは、自社の3つの製品に影響を与え、危険度が高いスタックベースのバッファオーバーフローの脆弱性「CVE-2025-0283」も発見した(注8)。同社は、コミュニティーフォーラムのセキュリティアドバイザリーにおいて「『CVE-2025-0283』が悪用されていたり、『CVE-2025-0282』と組み合わせて悪用されていたりする兆候は確認されていない」と述べた(注9)。
新たなゼロデイ脆弱性に関連して何が起きているのか
Ivantiによる対応と復旧作業のタイミング、公表前に脅威グループが積極的に悪用する機会の有無は重要な意味を持っている。
Ivantiの広報担当者は、2025年1月10日に電子メールで「当社のツールである『Integrity Checker』は、『CVE-2025-0282』の積極的な悪用を当日に特定した」と述べた。
この新たなゼロデイ脆弱性は、IvantiがIvanti Connect Secure向けのパッチをリリースし、脆弱性を公表する前の数週間にわたり積極的に悪用されていた(注10)。
インシデント対応企業であるMandiantは、2025年1月8日に実施した脅威インテリジェンスに関する報告で「このゼロデイ脆弱性が2024年12月中旬から、実際の環境で積極的に悪用されていることを確認した」と述べていた(注11)。
Ivantiの広報担当者は、次のように述べている。
「当社は、影響を受けたことが判明している顧客と、この脆弱性が公表される前から密接に連携している。また、脅威への対応と修正パッチのリリースについて、サイバーセキュリティ業界におけるリーディングカンパニーであるMandiantおよびMicrosoft Threat Intelligenceと連携している。これまでのところ、悪用の範囲は限定的だ」
Ivantiは、同脆弱性に関するIvanti Connect Secure向けのパッチを、脆弱性の公表と同時にリリースしたが、依然として脆弱な状態にある顧客の数や、積極的な悪用の影響をすでに受けている顧客の数は明らかにしていない。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2025年1月8日に『CVE-2025-0282』を、「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)に掲載した(注12)。
インターネットインテリジェンスプラットフォームであるCensysは、2025年1月10日の時点で、公開された状態にあるIvanti Connect Secureのインスタンスが3万3500件以上存在することを明らかにした(注13)。Censysのアドバイザリーによると、これらのインターネットに接続されたインスタンスの大半は、必ずしも脆弱性の悪用が可能とは限らず、主に米国と日本に所在しているという。
「どのベンダーやどの製品ラインのものであるかを問わず、ネットワークエッジデバイスは一般的に攻撃者の主要な標的となる。『CVE-2025-0282』に関するこれまでの情報によると、この度の脅威活動のうちの一部は、以前からこれらのデバイスを標的としていた国家に関連する脅威グループにひも付けられる。それらの脅威グループは、豊富なリソースと明確な動機、Ivanti Connect Secureのデバイスに関する専門的な知識を有していた可能性が高い」
2024年には、Ivanti Cloud Service ApplianceやIvanti Endpoint ManagerをはじめとするIvantiの製品に関連して積極的に悪用された複数の脆弱性を原因として(注14)(注15)、多くの組織が被害を受けていた。
(注1)Ivanti customers confront new zero-day with suspected nation-state nexus(Cybersecurity Dive)
(注2、注3)Tree map(SHADOW SERVER)
(注4)CVE-2025-0282 Detail(NIST)
(注5)Ivanti Connect Secure attacks part of deliberate espionage operation(Cybersecurity Dive)
(注6)CVE-2023-46805(CVE)
(注7)CVE-2024-21887(CVE)
(注8)CVE-2025-0283 Detail(NIST)
(注9)Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283) (ivanti)
(注10)Security Update: Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateways(ivanti)
(注11)Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation(Google Cloud Blog)
(注12)CISA Adds One Vulnerability to the KEV Catalog(CISA)
(注13)January 10 Advisory: Actively Exploited Unauthenticated RCE in Ivanti Connect Secure [CVE-2025-0282](censys)
(注14、注15)Trio of Ivanti CSA zero-day vulnerabilities under exploit threat(Cybersecurity Dive)
関連記事
Googleの認証システムに重大な欠陥 数百万のユーザーに影響する可能性
Googleの「Googleでログイン(Sign in with Google)」認証システムに重大な欠陥が見つかった。この欠陥を悪用すると、SlackやZoomなどのサービスに不正アクセスされる可能性がある。Google Workspaceユーザーは注意してほしい。
“EDR回避”は2025年の最新トレンド? 最新の攻撃手法を深堀しよう
ここ数年で、ランサムウェアをはじめとしたサイバー攻撃を防ぐ有効な手段としてEDRが広く普及しました。しかし攻撃者もこれを理解し、EDRを回避する攻撃手法を編み出すようになっています。今回はその技術的手法の詳細に迫ります。
アタックサーフェスマネジメントツールへの過信は禁物? できること、できないことを解説
注目のセキュリティキーワードである「ASM」(Attack Surface Management)。ASMツールを導入すれば全てが解決するというわけではありません。本稿はASMツールでできること、できないことを解説します。
注目はパスキーだけじゃない 2025年こそ流行ってほしい3つのセキュリティ技術
2025年が始まりました。相変わらずサイバー攻撃は収まる気配はないので、防御側もしっかりと対策を講じなければなりません。今回は新年1回目ということで、2025年こそ流行ってほしい3つのセキュリティ技術を紹介します。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- なぜAI時代に「オンプレ」が復活? 2026年のITトレンドを占う
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- Nintendo Switchのネットサービスさえ止めた「AWS障害」 CIOが得るべき教訓は?
- Accentureが“ChatGPT精通集団”に コンサル業務含め幅広く活用
- 「コーディングはAI任せ」でエンジニアは何をする? AWSが示す、開発の新たな“主戦場”
- NEC 業務ノウハウを自動抽出、資産化するAIエージェントを提供開始 属人業務の行方は
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
ITmediaはアイティメディア株式会社の登録商標です。