5000台以上のIvantiのVPN製品が脆弱な状態 攻撃者の標的には日本も:Cybersecurity Dive
直近1カ月の間に、中国に関連する攻撃者がIvantiのVPN製品におけるスタックバッファオーバーフローに関連する重大な脆弱性「CVE-2025-22457」を悪用し始めた。標的には日本も含まれている。
セキュリティ監視団体The Shadowserver FoundationはIvantiのVPNに関連する脆弱(ぜいじゃく)なインスタンスを5113件発見した(注1)。これらのインスタンスは「Ivanti Connect Secure」に影響を与える深刻なスタックベースのバッファオーバーフローの脆弱(ぜいじゃく)性「CVE-2025-22457」を備えている。
IvantiのVPN製品の脆弱性を攻撃者が絶賛悪用中 標的には日本も
この脆弱性は実際の攻撃で悪用されている(注2)。サイバーセキュリティ事業を営むMandiantは、中国の関与が疑われる脅威グループが、2025年3月中旬から開始したサイバースパイ活動の中で「CVE-2025-22457」を悪用しているのを確認した。米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)は2025年4月4日(現地時間、以下同)、「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)にこの脆弱性を追加した。
CVE-2025-22457は、「Pulse Connect Secure」や「Ivanti Policy Secure」「ZTA」(Zero Trust Architecture)のゲートウェイなど他の製品にも影響を与える。しかしIvantiとMandiantの両社は「この脆弱性が実際に悪用されたのはIvanti Connect SecureのVPN機器に対してのみである」と述べている。
2025年4月6日に実施されたスキャンにより、The Shadowserver Foundationは5113台のIvanti Connect Secureが脆弱な状態にあることを確認しており(注3)、その大部分は米国および日本、中国に集中していた。同年4月7日の最新のスキャンの結果によると、脆弱な機器の数はわずかに減少し、5027台となっている。
しかしThe Shadowserver Foundationは、CVE-2025-22457がIvanti Connect Secureだけでなく、さらに広い範囲に影響を与えていると指摘している。同組織は2025年4月7日の「X」(旧「Twitter」)の投稿で次のように述べている(注4)。
「Ivantiによると、この脆弱性は2025年2月11日のリリースで修正されたとされたという。しかし影響を受けている多くの機器はパッチが適用されていない古いバージョンのPulse Connect Secure 9.x(2024年12月31日でサポートが終了する)だ」
IvantiのCVE-2025-22457に関するアドバイザリーによると(注5)、Pulse Connect Secure 9.1xのバージョンはコードの更新がされていないという。アドバイザリーには次のように記されている。
「サポートが終了したバージョンの継続使用について、当社は顧客にガイダンスを提供できない。顧客に残された唯一の選択肢は、安全なプラットフォームへ移行し、自社のセキュリティを確保することだ」
一方、Ivantiは他の製品に対する悪用のリスクは低いとしている。Ivanti Policy Secureについて、同社は「インターネットに直接接続されることを想定していないため、リスクは大幅に低減される」と述べている。アドバイザリーによると、Ivanti Policy Secure向けのパッチは2025年4月21日にリリースされる予定だ。
IvantiのZTAのゲートウェイについて、アドバイザリーでは「本番環境で稼働中のインスタンスに対して、この脆弱性を悪用できない」としている。ただし、同社は「このソリューションのゲートウェイが生成された後、ZTAのコントローラーに接続されずに放置された場合、生成されたゲートウェイに対して悪用されるリスクがある」とも説明しており、その修正パッチは2025年4月19日にリリース予定であると付け加えている。
公開前に、Ivantiは2025年2月に「CVE-2025-22457」に対処するためのパッチをIvanti Connect Secureのバージョン「22.7R2.6」でリリースした。しかし、その時点でIvantiはこの脆弱性が低リスクであり、DoS攻撃でのみ悪用されると誤認していた。後に、Mandiantは「CVE-2025-22457」の脆弱性が悪用され、中国と関連する攻撃者が脆弱なVPNでリモートコード実行をしていることを発見した。
(注1)CVE-2025-22457 Detail(NIST)
(注2)CISA adds Ivanti Connect Secure vulnerability to KEV catalog(Cybersecurity Dive)
(注3)The Shadowserver Foundation(X)
(注4)The Shadowserver Foundation(X)
(注5)April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)(ivanti)
© Industry Dive. All rights reserved.
関連記事
Entra IDで大規模なアカウントロックアウトが発生 原因は新機能か?
Microsoft Entra IDで大規模なアカウントロックアウトが発生し、多数の管理者が対応に追われている。原因は新機能「MACE Credential Revocation」によるもので、多要素認証済みのアカウントも被害を受けた。
Fortinet製デバイス1万6000台超がバックドア被害に 急ぎ対策を
Fortinet製デバイス1万6000台以上がシンボリックリンク型バックドアによる侵害を受けたことが分かった。攻撃者は既知の複数の重大な脆弱性を悪用し、SSL-VPNの言語ファイル配信フォルダにリンクを作成して永続的アクセスを得ている。
Fortinet製品のゼロデイ脆弱性がダークWebに流出か?
ThreatMonはFortiGateに影響を及ぼすゼロデイ脆弱性がダークWebで取引されていると報告した。この脆弱性により、認証しなくても遠隔からコードを実行でき、管理者情報やネットワーク構成が漏えいしている。
Appleの悲願がかなう TLS証明書の有効期間が最短47日に短縮へ
Appleが提案したTLS証明書の有効期間短縮案「SC-081v3」が正式に可決した。最大398日だった有効期間は段階的に短縮され、2028年以降は47日となる。