-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2025-0008
                                                             JPCERT/CC
                                                            2025-04-04

                <<< JPCERT/CC Alert 2025-04-04 >>>

Ivanti Connect Secureなどにおける脆弱性（CVE-2025-22457）に関する注意喚起

            https://www.jpcert.or.jp/at/2025/at250008.html


I. 概要
2025年4月4日（現地時間）、IvantiがIvanti Connect Secure、Policy Secure、
ZTAゲートウェイにおけるスタックベースのバッファーオーバーフローの脆弱性
（CVE-2025-22457）に関するアドバイザリを公表しました。本脆弱性は2025年
2月11日にリリースされたIvanti Connect Secure 22.7R2.6で修正されており、
当時は製品のバグと判定されていましたが、同社の再評価によりリモートコー
ド実行につながる可能性があると判明しました。

Ivantiは本脆弱性を悪用する攻撃をすでに確認しており、22.7R2.5以前のバー
ジョンのIvanti Connect Secureとサポートが終了しているIvanti Connect Secure
9.1系（旧名: Pulse Connect Secure）のバージョンを使用する一部の顧客環境
で、悪用が確認されているとのことです。アドバイザリの公表と同日、Mandiant
がブログを公表し、遅くとも2025年3月中旬から本脆弱性を悪用する攻撃を観
測していたと報告しています。JPCERT/CCでは詳細を確認中であるものの、国
内ホストでも本脆弱性の悪用と思われる攻撃が発生していることを確認してい
ます。

本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に
記載の情報およびIvantiが提供する最新の情報を確認の上、対策および侵害
有無の調査などを実施してください。また、今後も情報が更新される可能性が
あるため、Ivantiなどが公開する情報を注視いただくことを推奨します。

    Ivanti
    April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)
    https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457


II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、
Ivantiが提供する最新の情報をご確認ください。

  - Ivanti Connect Secure 22.7R2.5およびそれ以前
  - Ivanti Connect Secure 9.1R18.9およびそれ以前
  - Ivanti Policy Secure 22.7R1.3およびそれ以前
  - Ivanti Neurons for ZTA gateways 22.8R2およびそれ以前

なお、Ivanti Connect Secure（旧名: Pulse Connect Secure）の9.1系のバー
ジョンは、2024年12月末までにサポートが終了しています。サポート対象バー
ジョンの最新の状況はIvantiの次の情報をご確認ください。

    Ivanti
    Granular Software Release EOL Timelines and Support Matrix
    https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix


III. 対策
Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を
検討してください。

サポートが終了しているIvanti Connect Secure（旧名: Pulse Connect
Secure）の9.1系のバージョンについては、脆弱性を修正するパッチは提供さ
れておらず、サポート対象バージョンへの移行が推奨されています。

Ivanti Policy Secure、Ivanti Neurons for ZTA gateways向けのパッチは、
4月中頃に公開予定とのことです。


IV. 侵害検出方法
Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、
Ivantiが提供する整合性チェックツール（Integrity Checker Tool: ICT）の
実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する
外部チェック（external ICT）と、機器に搭載される内部チェック
（internal ICT）の内容や、他のセキュリティ監視ツールの内容を確認し、異
常が検出された場合、追加の調査や対処を実施することが推奨されています。
詳細や最新の情報はIvantiが提供する情報をご確認ください。

なお、同製品を侵害する攻撃で、整合性チェックツールの検索結果を細工する
改ざんを行うケースがこれまでに確認されています。一見正常にツールが終了
したようにみえても、実際には改ざんされた結果が表示されており、ツールを
実行するステップが途中で終了している可能性がありますので、ツールの実行
結果を確認時はご留意ください。詳細は、下記Mandiantブログ（今回のもので
はなく、1月公開のブログ）のRecommendationsの部分をご参考にしてください。

    Google Cloud（Mandiant）
    Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
    https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/

また、本脆弱性を悪用する攻撃に関する情報が他組織からも公表されています
ので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」
なども参考にしてください。


V. 攻撃事例
Mandiantのブログによると、本脆弱性を悪用する攻撃は2025年3月中旬から観
測されており、攻撃者は脆弱性を悪用後、SPAWNファミリーマルウェアなどを
設置します。マルウェアの中には、整合性チェックツール（ICT）の結果を改
ざんを試みるものも含まれているため、調査時には内部および外部のICTツー
ルの実行に加えて、補足的な調査としてWebプロセスに関するコアダンプの監
視なども検討することを同社は推奨しています。

    Google Cloud（Mandiant）
    Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457)
    https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=6bNU
-----END PGP SIGNATURE-----