-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2025-0001
                                                             JPCERT/CC
                                                     2025-01-09（公開）
                                                     2025-02-13（更新）


                <<< JPCERT/CC Alert 2025-01-09 >>>

Ivanti Connect Secureなどにおける脆弱性（CVE-2025-0282）に関する注意喚起

            https://www.jpcert.or.jp/at/2025/at250001.html


I. 概要
2025年1月8日（現地時間）、IvantiはIvanti Connect Secure（旧: Pulse
Connect Secure）などにおける脆弱性に関するアドバイザリを公開しました。
スタックベースのバッファオーバーフローの脆弱性で、遠隔の攻撃者が認証不
要で任意のコードを実行する可能性がある脆弱性（CVE-2025-0282）と、認証
された攻撃者が権限を昇格できる脆弱性（CVE-2025-0283）が公表されていま
す。

Ivantiは一部の顧客のIvanti Connect Secureで、脆弱性（CVE-2025-0282）を
悪用する攻撃を確認しているとのことです。また、Mandiant社が悪用事案に関
するレポートを公表しています。

** 更新: 2025年02月13日追記 ********************************************
JPCERT/CCでは、本脆弱性公開前の2024年12月下旬から本脆弱性が悪用された
被害を国内で複数確認しています。本脆弱性はすでに複数の攻撃グループに使
用されています。
************************************************************************

本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に
記載の情報およびIvantiが提供する最新の情報を確認の上、対策の実施および
侵害有無を確認する調査などを推奨します。また、今後も情報が更新される可
能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。

    Ivanti
    Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)
    https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283


II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、
Ivantiが提供する最新の情報をご確認ください。

（CVE-2025-0282の脆弱性）  
  - Ivanti Connect Secure 22.7R2から22.7R2.4まで  
  - Ivanti Policy Secure 22.7R1から22.7R1.2まで  
  - Ivanti Neurons for ZTA gateways 22.7R2から22.7R2.3まで  

（CVE-2025-0283の脆弱性）  
  - Ivanti Connect Secure 22.7R2.4およびそれ以前  
  - Ivanti Connect Secure 9.1R18.9およびそれ以前  
  - Ivanti Policy Secure 22.7R1.2およびそれ以前  
  - Ivanti Neurons for ZTA gateways 22.7R2.3およびそれ以前  

なお、CVE-2025-0283（権限昇格の脆弱性）の影響を受けるIvanti Connect
Secureの9系のバージョンは、2024年12月末までにサポートが終了しています。
サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。

    Ivanti
    Granular Software Release EOL Timelines and Support Matrix
    https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix


III. 対策
Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を
検討してください。


IV. 侵害検出方法
Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、
Ivantiが提供する整合性チェックツール（Integrity Checker Tool: ICT）の
実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する
外部チェック（external ICT）と、機器に搭載される内部チェック
（internal ICT）の内容や、他のセキュリティ監視ツールの内容を確認し、異
常が検出された場合、追加の調査や対処を実施することが推奨されています。
詳細や最新の情報はIvantiが提供する情報をご確認ください。

また、同脆弱性を悪用する攻撃に関する情報が他組織からも公表されています
ので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」
なども参考にしてください。


V. 攻撃事例
同脆弱性を悪用する攻撃について解説するMandiant社の情報によると、攻撃者
が整合性チェックツール（ICT）による検出の回避を試み、ICTツールの実行が
途中で終了する事例を確認しているとのことです。その他にも、侵害後には
ユーザーによるアップグレードを妨害しつつ、偽のアップグレードの進捗が表
示される機能が埋め込まれるとしています。

また、脆弱性を悪用する前の偵察行動として、攻撃者が次のURLへアクセスし、
製品のバージョン推定を試みる活動を確認していると指摘しています。

  - /dana-cached/hc/hc_launcher.22.7.2.2615.jar  
  - /dana-cached/hc/hc_launcher.22.7.2.3191.jar  
  - /dana-cached/hc/hc_launcher.22.7.2.3221.jar  
  - /dana-cached/hc/hc_launcher.22.7.2.3431.jar  

    Mandiant
    Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
    https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/

** 更新: 2025年02月13日追記 ********************************************
JPCERT/CCでは、本脆弱性公開前の2024年12月下旬から本脆弱性が悪用された
被害を国内で複数確認しています。本脆弱性はすでに複数の攻撃グループに使
用されています。JPCERT/CCは対応したインシデントの中で、マルウェアSPAWN
ファミリーのアップデートを確認しました。ハッシュ値やファイルパスなどに
ついては、次のブログの情報をご確認ください。

    JPCERT/CC Eyes
    Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA
    https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html
************************************************************************


VI. 参考情報
    Ivanti
    Security Update: Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateways
    https://www.ivanti.com/blog/security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2025-01-09 公開
2025-02-13 「I. 概要」「V. 攻撃事例」に追記
           「III. 対策」の一部記載を削除
           （全製品向けのパッチが提供されたため）

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=FYQh
-----END PGP SIGNATURE-----