JPCERT コーディネーションセンター

Ivanti Connect Secureなどにおける脆弱性(CVE-2025-0282)に関する注意喚起

各位

JPCERT-AT-2025-0001
JPCERT/CC
2025-01-09

JPCERT/CC Alert 2025-01-09

Ivanti Connect Secureなどにおける脆弱性(CVE-2025-0282)に関する注意喚起

https://www.jpcert.or.jp/at/2025/at250001.html


I. 概要2025年1月8日(現地時間)、IvantiはIvanti Connect Secure(旧: PulseConnect Secure)などにおける脆弱性に関するアドバイザリを公開しました。スタックベースのバッファオーバーフローの脆弱性で、遠隔の攻撃者が認証不要で任意のコードを実行する可能性がある脆弱性(CVE-2025-0282)と、認証された攻撃者が権限を昇格できる脆弱性(CVE-2025-0283)が公表されています。

Ivantiは一部の顧客のIvanti Connect Secureで、脆弱性(CVE-2025-0282)を悪用する攻撃を確認しているとのことです。また、Mandiant社が悪用事案に関するレポートを公表しています。

本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報およびIvantiが提供する最新の情報を確認の上、対策の実施および侵害有無を確認する調査などを推奨します。また、今後も情報が更新される可能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。

Ivanti
Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283


II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Ivantiが提供する最新の情報をご確認ください。

(CVE-2025-0282の脆弱性)
- Ivanti Connect Secure 22.7R2から22.7R2.4まで
- Ivanti Policy Secure 22.7R1から22.7R1.2まで
- Ivanti Neurons for ZTA gateways 22.7R2から22.7R2.3まで

(CVE-2025-0283の脆弱性)
- Ivanti Connect Secure 22.7R2.4およびそれ以前
- Ivanti Connect Secure 9.1R18.9およびそれ以前
- Ivanti Policy Secure 22.7R1.2およびそれ以前
- Ivanti Neurons for ZTA gateways 22.7R2.3およびそれ以前

なお、CVE-2025-0283(権限昇格の脆弱性)の影響を受けるIvanti ConnectSecureの9系のバージョンは、2024年12月末までにサポートが終了しています。サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。

Ivanti
Granular Software Release EOL Timelines and Support Matrix
https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix


III. 対策Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を検討してください。

本情報の発行時点では、Ivanti Connect Secure向けのパッチは公開されていますが、Ivanti Policy SecureおよびIvanti Neurons for ZTA gateways向けのパッチは後日公開される予定とのことです。


IV. 侵害検出方法Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool: ICT)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)と、機器に搭載される内部チェック(internal ICT)の内容や、他のセキュリティ監視ツールの内容を確認し、異常が検出された場合、追加の調査や対処を実施することが推奨されています。詳細や最新の情報はIvantiが提供する情報をご確認ください。

また、同脆弱性を悪用する攻撃に関する情報が他組織からも公表されていますので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」なども参考にしてください。


V. 攻撃事例同脆弱性を悪用する攻撃について解説するMandiant社の情報によると、攻撃者が整合性チェックツール(ICT)による検出の回避を試み、ICTツールの実行が途中で終了する事例を確認しているとのことです。その他にも、侵害後にはユーザーによるアップグレードを妨害しつつ、偽のアップグレードの進捗が表示される機能が埋め込まれるとしています。

また、脆弱性を悪用する前の偵察行動として、攻撃者が次のURLへアクセスし、製品のバージョン推定を試みる活動を確認していると指摘しています。

- /dana-cached/hc/hc_launcher.22.7.2.2615.jar
- /dana-cached/hc/hc_launcher.22.7.2.3191.jar
- /dana-cached/hc/hc_launcher.22.7.2.3221.jar
- /dana-cached/hc/hc_launcher.22.7.2.3431.jar

Mandiant
Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/


VI. 参考情報
Ivanti
Security Update: Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateways
https://www.ivanti.com/blog/security-update-ivanti-connect-secure-policy-secure-and-neurons-for-zta-gateways



今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter