Ivantiの脆弱性を悪用する新型マルウェア「Resurge」が登場 有効な防御策は？：Cybersecurity Dive

CISAはResurgeという新型マルウェアについて警告した。同マルウェアは、Ivanti Connect Secureのアプライアンスに存在する重大なスタックバッファーオーバーフローの脆弱性を悪用しているという。

[Rob Wright，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）は2025年3月28日（現地時間、以下同）に、「Resurge」と名付けられた新たなマルウェアの亜種について警告を発した（注1）。

　同マルウェアは、「Ivanti Connect Secure」のアプライアンスに存在する重大なスタックバッファーオーバーフローの脆弱（ぜいじゃく）性「CVE-2025-0282」を悪用している（注2）。この亜種は、過去に中国の支援を受けた攻撃者が使用していたマルウェアファミリー「Spawn」と類似したものだ。

Ivanti製品の脆弱性を悪用する新型マルウェアResurgeが登場

　「CVE-2025-0282」は2025年1月8日にゼロデイ脆弱性として公表された（注3）。当時、サイバーセキュリティ事業を営むMandiantの研究者は、中国と関係のあるスパイ活動グループ「UNC5337」によって、この脆弱性が実際の攻撃で悪用されていると指摘していた。

　Ivantiの製品に関連する脆弱性は、さまざまな攻撃者にとって格好の標的となっており、2025年だけで複数の事例が報告されている。同年3月の初めには、Ivanti Endpoint Managerに存在する3件の重大な脆弱性が攻撃に使用された（注4）。

　CISAによると、Resurgeは「SpawnChimera」に類似しており、これはシステムの再起動にも耐えるマルウェアファミリーSpawnの亜種だという。Mandiantの研究者は以前にも、UNC5337がIvanti Connect Secureのアプライアンスに関連する他の脆弱性に対して、Spawnのマルウェアの亜種を使用していたことを確認している（注5）。

　CISAは、ResurgeとSpawnChimeraの間にある重要な違いを強調しており、とりわけResurgeには整合性チェックを操作する機能があることを指摘している。通常、Ivantiは「CVE-2025-0282」を含む脆弱性の悪用を特定するために、自社のIntegrity Checker Tool（ICT）の使用を推奨している。

　しかし、CISAは以前からIvantiに関する問題を指摘していた。2024年、同庁は同ツールの旧バージョンでは「CVE-2023-46805」および「CVE-2024-21887」（注6）（注7）、「CVE-2024-21893」の3つの脆弱性の悪用を十分に検出できないと警告した（注8）。その後、CISAは、自らのネットワークがこれらのうち2つの脆弱性を通じて侵害されていたことを明らかにした。

　CISAによると、Resurgeを使うことで、攻撃者はWebシェルの作成および認証情報の収集や新たなアカウントの作成、パスワードリセットの実行、権限の昇格などができるようになるという。さらに攻撃者は、WebシェルをIvantiのデバイスのブートディスクにコピーし、実行中のcorebootのイメージを操作できる。

　CISAのマルウェア分析によると（注9）、攻撃者がIvantiの「CVE-2025-0282」を悪用して初期アクセスを得た後、同庁は（電力やガス、鉄道、空港などの）重要インフラ組織が使用しているIvanti Connect SecureのデバイスからResurgeのファイルを取得した。CISAのアナリストは、Resurgeに加え、Ivantiのデバイスのログを改ざんする「SpawnSloth」と呼ばれる別のSpawnのマルウェアの亜種も発見した。

　この脆弱性の悪用がどの程度広がっているのか、またはどのような組織や業種が標的となっているのかは明らかになっていない。2025年1月下旬には、非営利団体であるThe Shadowserver Foundationは、379の組織が「CVE-2025-0282」の悪用によって設置された可能性のあるバックドアに感染していることを確認した（注10）。

　このマルウェアには悪用の痕跡を消去する機能があることから、CISAは組織に対し、デバイスやネットワークを悪質な活動から保護するために重要な措置を講じるよう勧告した。CISAは「最高レベルの信頼性を得るためには、工場出荷時の状態にリセットすべきだ。クラウドおよび仮想環境では、外部の信頼できるクリーンなイメージを使用して工場出荷時の状態へのリセットを実施してほしい」と述べた。

　「Cybersecurity Dive」は、CISAの警告についてIvantiにコメントを求めた。これに対して、Ivantiの広報担当者は「私たちは防御側との責任ある情報共有を支持しており、それがより健全で強靭なセキュリティエコシステムを構築する上で極めて重要だと考えている。Ivantiは、顧客に対し、工場出荷時の状態へのリセットを含め、2025年1月8日にリリースされたパッチの適用に関する指示に直ちに従うよう奨励している」と述べた。

（注1）CISA Releases Malware Analysis Report on RESURGE Malware Associated with Ivanti Connect Secure（CISA）
（注2）CVE-2025-0282 Detail（NIST）
（注3）Ivanti customers confront new zero-day with suspected nation-state nexus（Cybersecurity Dive）
（注4）CISA: 3 Ivanti endpoint vulnerabilities exploited in the wild（Cybersecurity Dive）
（注5）Cutting Edge, Part 4: Ivanti Connect Secure VPN Post-Exploitation Lateral Movement Case Studies（Google Cloud）
（注6）CVE-2023-46805 Detail（NIST）
（注7）CVE-2024-21887 Detail（NIST）
（注8）CVE-2024-21893 Detail（NIST）
（注9）MAR-25993211-r1.v1 Ivanti Connect Secure (RESURGE)（CISA）
（注10）Attackers lodge backdoors into Ivanti Connect Secure devices（Cybersecurity Dive）

原文へのリンク