-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2025-0001 JPCERT/CC 2025-01-09 <<< JPCERT/CC Alert 2025-01-09 >>> Ivanti Connect Secureなどにおける脆弱性(CVE-2025-0282)に関する注意喚起 https://www.jpcert.or.jp/at/2025/at250001.html I. 概要 2025年1月8日(現地時間)、IvantiはIvanti Connect Secure(旧: Pulse Connect Secure)などにおける脆弱性に関するアドバイザリを公開しました。 スタックベースのバッファオーバーフローの脆弱性で、遠隔の攻撃者が認証不 要で任意のコードを実行する可能性がある脆弱性(CVE-2025-0282)と、認証 された攻撃者が権限を昇格できる脆弱性(CVE-2025-0283)が公表されていま す。 Ivantiは一部の顧客のIvanti Connect Secureで、脆弱性(CVE-2025-0282)を 悪用する攻撃を確認しているとのことです。また、Mandiant社が悪用事案に関 するレポートを公表しています。 本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に 記載の情報およびIvantiが提供する最新の情報を確認の上、対策の実施および 侵害有無を確認する調査などを推奨します。また、今後も情報が更新される可 能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。 Ivanti Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283) https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283 II. 対象 本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、 Ivantiが提供する最新の情報をご確認ください。 (CVE-2025-0282の脆弱性) - Ivanti Connect Secure 22.7R2から22.7R2.4まで - Ivanti Policy Secure 22.7R1から22.7R1.2まで - Ivanti Neurons for ZTA gateways 22.7R2から22.7R2.3まで (CVE-2025-0283の脆弱性) - Ivanti Connect Secure 22.7R2.4およびそれ以前 - Ivanti Connect Secure 9.1R18.9およびそれ以前 - Ivanti Policy Secure 22.7R1.2およびそれ以前 - Ivanti Neurons for ZTA gateways 22.7R2.3およびそれ以前 なお、CVE-2025-0283(権限昇格の脆弱性)の影響を受けるIvanti Connect Secureの9系のバージョンは、2024年12月末までにサポートが終了しています。 サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。 Ivanti Granular Software Release EOL Timelines and Support Matrix https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix III. 対策 Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を 検討してください。 本情報の発行時点では、Ivanti Connect Secure向けのパッチは公開されてい ますが、Ivanti Policy SecureおよびIvanti Neurons for ZTA gateways向け のパッチは後日公開される予定とのことです。 IV. 侵害検出方法 Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、 Ivantiが提供する整合性チェックツール(Integrity Checker Tool: ICT)の 実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する 外部チェック(external ICT)と、機器に搭載される内部チェック (internal ICT)の内容や、他のセキュリティ監視ツールの内容を確認し、異 常が検出された場合、追加の調査や対処を実施することが推奨されています。 詳細や最新の情報はIvantiが提供する情報をご確認ください。 また、同脆弱性を悪用する攻撃に関する情報が他組織からも公表されています ので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」 なども参考にしてください。 V. 攻撃事例 同脆弱性を悪用する攻撃について解説するMandiant社の情報によると、攻撃者 が整合性チェックツール(ICT)による検出の回避を試み、ICTツールの実行が 途中で終了する事例を確認しているとのことです。その他にも、侵害後には ユーザーによるアップグレードを妨害しつつ、偽のアップグレードの進捗が表 示される機能が埋め込まれるとしています。 また、脆弱性を悪用する前の偵察行動として、攻撃者が次のURLへアクセスし、 製品のバージョン推定を試みる活動を確認していると指摘しています。 - /dana-cached/hc/hc_launcher.22.7.2.2615.jar - /dana-cached/hc/hc_launcher.22.7.2.3191.jar - /dana-cached/hc/hc_launcher.22.7.2.3221.jar - /dana-cached/hc/hc_launcher.22.7.2.3431.jar Mandiant Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/ VI. 参考情報 Ivanti Security Update: Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateways https://www.ivanti.com/blog/security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJnf1TRAAoJEDoQgdvpn3qqiAsP/iG4UgjHWI0CwEm/hJxIX2z0 Or6Y5omyLp11g/h8NT6EMZynNrsfdkhDDhwQcbXT0kRXWAw5Zp8JwnXRnGffraxE Nb8Rva5BEvzZZQtmcjo0oj1MbiGh7oOzCjHRQPFPRoy88NI4cVaamLYpEwYj5XJ7 jIr5JGWdquvuEoep08zLv3ER1XKZ4tNTPSvvOTxOyxFcGUZD3gUAufIeewKwr6fI ZYSSl5hhbbrSNip3QL35aRKS7bm1PyIU+jWqElSk5PPxjsuR6ne8XWa+GVb2ySQT BzTOa49KSHanKW23uKQQzdTR5wys7NFKDeG2xOBexZMJbjCMApVry4gYftSlLkHy c3QUqnI0jZoo9tPCUMvuZ1AeU15qsnOrSv00dh3+Aq2aT+BvcDTQ3+IW4CymRshm ilthhwPDAsCXaRPfCE2XK+Ph20fuyBjf2pmjkOxkd5IbzTO51L+c1kDlQHM+mW4l IGFAlob37rqEvzPwW9uSpTO4ni4gCAOYSmh6sljNOq0U15PuAItRBUHseyu3GdcE kkSqF/Fdp4iKEX/lG5EjugZVYogJumZHZPP5bhQL4PweCZj42dtgHSgjis3TYizG hXf3fRF1buq2K097PGFvvrPIyimN9oJn50uVVBhIsJ8jWytr9Dj+dzNOgYiMm3bb KdLEExpdOSpeRoN7FMQK =PNQm -----END PGP SIGNATURE-----