各位
https://www.jpcert.or.jp/at/2025/at250008.html
I. 概要2025年4月4日(現地時間)、IvantiがIvanti Connect Secure、Policy Secure、ZTAゲートウェイにおけるスタックベースのバッファーオーバーフローの脆弱性(CVE-2025-22457)に関するアドバイザリを公表しました。本脆弱性は2025年2月11日にリリースされたIvanti Connect Secure 22.7R2.6で修正されており、当時は製品のバグと判定されていましたが、同社の再評価によりリモートコード実行につながる可能性があると判明しました。
Ivantiは本脆弱性を悪用する攻撃をすでに確認しており、22.7R2.5以前のバージョンのIvanti Connect Secureとサポートが終了しているIvanti Connect Secure9.1系(旧名: Pulse Connect Secure)のバージョンを使用する一部の顧客環境で、悪用が確認されているとのことです。アドバイザリの公表と同日、Mandiantがブログを公表し、遅くとも2025年3月中旬から本脆弱性を悪用する攻撃を観測していたと報告しています。JPCERT/CCでは詳細を確認中であるものの、国内ホストでも本脆弱性の悪用と思われる攻撃が発生していることを確認しています。
** 更新: 2025年04月30日追記 ****************
JPCERT/CCでは、本注意喚起を公表した2025年4月4日以降も国内ホストで本脆弱性の悪用と思われる攻撃被害が発生していることを確認しています。
初版のIV. 侵害検出方法に触れたように、整合性チェックツール(IntegrityChecker Tool: ICT)の出力結果が改ざんされる事例が引き続き報告されています。この改ざんの見極めが不十分なために攻撃被害を認知できていないケースも確認しています。
また、海外セキュリティ企業のGreyNoiseによると2025年4月18日にIvanti ConnectSecureなどに対する不審なスキャン活動が急増したと公表しており、無差別/広範囲の攻撃活動を示唆しています。
GreyNoise
9X Surge in Ivanti Connect Secure Scanning Activity
https://www.greynoise.io/blog/surge-ivanti-connect-secure-scanning-activity
上記より、本脆弱性を悪用した攻撃活動が継続的に行われることが想定されるため、JPCERT/CCで確認したICTの出力結果の改ざん事例などを更新しました。すでにICTで侵害有無を確認した組織も含め、改めて改ざん事例を踏まえた確認を推奨します。
また、サポートが終了しているバージョンで稼働する製品において、攻撃の被害を受けた可能性がある情報を多数確認しています。サポートが終了している製品を利用している場合、停止および移行、並びに、移行後の迅速なネットワーク隔離を速やかに計画いただくとともに、外部ICTを実行するなどで脆弱性や攻撃の影響を受けた可能性があるかも調査し、対応をご検討ください。
**************************************************
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報およびIvantiが提供する最新の情報を確認の上、対策および侵害有無の調査などを実施してください。また、今後も情報が更新される可能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。
Ivanti
April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Ivantiが提供する最新の情報をご確認ください。
- Ivanti Connect Secure 22.7R2.5およびそれ以前
- Ivanti Connect Secure 9.1R18.9およびそれ以前
- Ivanti Policy Secure 22.7R1.3およびそれ以前
- Ivanti Neurons for ZTA gateways 22.8R2およびそれ以前
なお、Ivanti Connect Secure(旧名: Pulse Connect Secure)の9.1系のバージョンは、2024年12月末までにサポートが終了しています。サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。
Ivanti
Granular Software Release EOL Timelines and Support Matrix
https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix
III. 対策Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を検討してください。
サポートが終了しているIvanti Connect Secure(旧名: Pulse ConnectSecure)の9.1系のバージョンについては、脆弱性を修正するパッチは提供されておらず、サポート対象バージョンへの移行が推奨されています。
Ivanti Policy Secure、Ivanti Neurons for ZTA gateways向けのパッチは、4月中頃に公開予定とのことです。
** 更新: 2025年04月30日追記 ****************
Ivanti Neurons for ZTA gateways向けのパッチは4月19日に公開されています。
Ivanti Policy Secureについては5月15日に公開予定とのことです。
**************************************************
IV. 侵害検出方法Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool: ICT)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)と、機器に搭載される内部チェック(internal ICT)の内容や、他のセキュリティ監視ツールの内容を確認し、異常が検出された場合、追加の調査や対処を実施することが推奨されています。詳細や最新の情報はIvantiが提供する情報をご確認ください。
なお、同製品を侵害する攻撃で、整合性チェックツールの検索結果を細工する改ざんを行うケースがこれまでに確認されています。一見正常にツールが終了したようにみえても、実際には改ざんされた結果が表示されており、ツールを実行するステップが途中で終了している可能性がありますので、ツールの実行結果を確認時はご留意ください。詳細は、下記Mandiantブログ(今回のものではなく、1月公開のブログ)のRecommendationsの部分をご参考にしてください。
Google Cloud(Mandiant)
Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/
また、本脆弱性を悪用する攻撃に関する情報が他組織からも公表されていますので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」なども参考にしてください。
** 更新: 2025年04月30日追記 ****************
JPCERT/CCでは、整合性チェックツール(Integrity Checker Tool: ICT)の出力結果の改ざんについて以下の事例を確認しています。
・外部ICTの出力結果が「Step3」で終了する事例
上記MandiantブログのRecommendationsの部分に該当する出力結果の場合、Ivanti Connect Secureが侵害を受けている可能性があります。
・外部ICTの出力結果が「Step9」で終了する事例
以下のICTの出力結果の場合、ICTの出力結果が改ざんされ、Ivanti Connect Secureが侵害を受けている可能性があります。
<改ざんされている可能性のある実行結果例>
Step8:MatcherMis-matcher Files = 0
Step9:Newly detected Files = 0
External ICT Scan completed successfully
<改ざんされている可能性のある実行結果の特徴>
- 外部ICTの出力結果がStep9で終了している
- 新規ファイル検知数が0個である
Ivantiによると、2024年2月26日以降にリリースされた外部ICTでは、デフォルトで2つの新規ファイル、または、3つの新規ファイルと1つの不一致ファイルが検出されるとのことです。
Ivanti
Ivanti Connect Secure (Ics) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755?language=en_US
本事例では一見、ツールが正常終了しているようにみえるため、侵害を見過ごしてしまうケースが懸念されます。そのため、外部ICTをご利用の際は、本事例を踏まえた出力結果の再確認を推奨します。
また、外部ICTの出力結果で以下に該当する場合もIvanti Connect Secureが侵害を受けている可能性が考えられますので、あわせて確認することを推奨します。
- クラスター構成で対抗機と結果が異なる
- 前回の結果と異なる
- 外部ICTの実行が途中で終了する
大塚商会
PulseSecureの整合性チェックツールの結果の改ざんについて
https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP20F0102S01P&oshiraseNo=0000005299
**************************************************
V. 攻撃事例Mandiantのブログによると、本脆弱性を悪用する攻撃は2025年3月中旬から観測されており、攻撃者は脆弱性を悪用後、SPAWNファミリーマルウェアなどを設置します。マルウェアの中には、整合性チェックツール(ICT)の結果を改ざんを試みるものも含まれているため、調査時には内部および外部のICTツールの実行に加えて、補足的な調査としてWebプロセスに関するコアダンプの監視なども検討することを同社は推奨しています。
Google Cloud(Mandiant)
Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457)
https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability
** 更新: 2025年04月30日追記 ****************
外部ICTの実行結果以外に、JPCERT/CCでは、本脆弱性を悪用した攻撃の痕跡である可能性が高い事象として、次のようなものを確認しています。
- ログ出力の停止
- 外部サーバーへのログ転送の停止
- ログの欠損
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2025-04-04 公開
2025-04-30 「I. 概要」「III. 対策」「IV. 侵害検出方法」「V. 攻撃事例」を追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2025-0008
JPCERT/CC
2025-04-04(公開)
2025-04-30(更新)
JPCERT/CC Alert 2025-04-04
Ivanti Connect Secureなどにおける脆弱性(CVE-2025-22457)に関する注意喚起https://www.jpcert.or.jp/at/2025/at250008.html
I. 概要2025年4月4日(現地時間)、IvantiがIvanti Connect Secure、Policy Secure、ZTAゲートウェイにおけるスタックベースのバッファーオーバーフローの脆弱性(CVE-2025-22457)に関するアドバイザリを公表しました。本脆弱性は2025年2月11日にリリースされたIvanti Connect Secure 22.7R2.6で修正されており、当時は製品のバグと判定されていましたが、同社の再評価によりリモートコード実行につながる可能性があると判明しました。
Ivantiは本脆弱性を悪用する攻撃をすでに確認しており、22.7R2.5以前のバージョンのIvanti Connect Secureとサポートが終了しているIvanti Connect Secure9.1系(旧名: Pulse Connect Secure)のバージョンを使用する一部の顧客環境で、悪用が確認されているとのことです。アドバイザリの公表と同日、Mandiantがブログを公表し、遅くとも2025年3月中旬から本脆弱性を悪用する攻撃を観測していたと報告しています。JPCERT/CCでは詳細を確認中であるものの、国内ホストでも本脆弱性の悪用と思われる攻撃が発生していることを確認しています。
** 更新: 2025年04月30日追記 ****************
JPCERT/CCでは、本注意喚起を公表した2025年4月4日以降も国内ホストで本脆弱性の悪用と思われる攻撃被害が発生していることを確認しています。
初版のIV. 侵害検出方法に触れたように、整合性チェックツール(IntegrityChecker Tool: ICT)の出力結果が改ざんされる事例が引き続き報告されています。この改ざんの見極めが不十分なために攻撃被害を認知できていないケースも確認しています。
また、海外セキュリティ企業のGreyNoiseによると2025年4月18日にIvanti ConnectSecureなどに対する不審なスキャン活動が急増したと公表しており、無差別/広範囲の攻撃活動を示唆しています。
GreyNoise
9X Surge in Ivanti Connect Secure Scanning Activity
https://www.greynoise.io/blog/surge-ivanti-connect-secure-scanning-activity
上記より、本脆弱性を悪用した攻撃活動が継続的に行われることが想定されるため、JPCERT/CCで確認したICTの出力結果の改ざん事例などを更新しました。すでにICTで侵害有無を確認した組織も含め、改めて改ざん事例を踏まえた確認を推奨します。
また、サポートが終了しているバージョンで稼働する製品において、攻撃の被害を受けた可能性がある情報を多数確認しています。サポートが終了している製品を利用している場合、停止および移行、並びに、移行後の迅速なネットワーク隔離を速やかに計画いただくとともに、外部ICTを実行するなどで脆弱性や攻撃の影響を受けた可能性があるかも調査し、対応をご検討ください。
**************************************************
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報およびIvantiが提供する最新の情報を確認の上、対策および侵害有無の調査などを実施してください。また、今後も情報が更新される可能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。
Ivanti
April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Ivantiが提供する最新の情報をご確認ください。
- Ivanti Connect Secure 22.7R2.5およびそれ以前
- Ivanti Connect Secure 9.1R18.9およびそれ以前
- Ivanti Policy Secure 22.7R1.3およびそれ以前
- Ivanti Neurons for ZTA gateways 22.8R2およびそれ以前
なお、Ivanti Connect Secure(旧名: Pulse Connect Secure)の9.1系のバージョンは、2024年12月末までにサポートが終了しています。サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。
Ivanti
Granular Software Release EOL Timelines and Support Matrix
https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix
III. 対策Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を検討してください。
サポートが終了しているIvanti Connect Secure(旧名: Pulse ConnectSecure)の9.1系のバージョンについては、脆弱性を修正するパッチは提供されておらず、サポート対象バージョンへの移行が推奨されています。
Ivanti Policy Secure、Ivanti Neurons for ZTA gateways向けのパッチは、4月中頃に公開予定とのことです。
** 更新: 2025年04月30日追記 ****************
Ivanti Neurons for ZTA gateways向けのパッチは4月19日に公開されています。
Ivanti Policy Secureについては5月15日に公開予定とのことです。
**************************************************
IV. 侵害検出方法Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool: ICT)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)と、機器に搭載される内部チェック(internal ICT)の内容や、他のセキュリティ監視ツールの内容を確認し、異常が検出された場合、追加の調査や対処を実施することが推奨されています。詳細や最新の情報はIvantiが提供する情報をご確認ください。
なお、同製品を侵害する攻撃で、整合性チェックツールの検索結果を細工する改ざんを行うケースがこれまでに確認されています。一見正常にツールが終了したようにみえても、実際には改ざんされた結果が表示されており、ツールを実行するステップが途中で終了している可能性がありますので、ツールの実行結果を確認時はご留意ください。詳細は、下記Mandiantブログ(今回のものではなく、1月公開のブログ)のRecommendationsの部分をご参考にしてください。
Google Cloud(Mandiant)
Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/
また、本脆弱性を悪用する攻撃に関する情報が他組織からも公表されていますので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」なども参考にしてください。
** 更新: 2025年04月30日追記 ****************
JPCERT/CCでは、整合性チェックツール(Integrity Checker Tool: ICT)の出力結果の改ざんについて以下の事例を確認しています。
・外部ICTの出力結果が「Step3」で終了する事例
上記MandiantブログのRecommendationsの部分に該当する出力結果の場合、Ivanti Connect Secureが侵害を受けている可能性があります。
・外部ICTの出力結果が「Step9」で終了する事例
以下のICTの出力結果の場合、ICTの出力結果が改ざんされ、Ivanti Connect Secureが侵害を受けている可能性があります。
<改ざんされている可能性のある実行結果例>
Step8:MatcherMis-matcher Files = 0
Step9:Newly detected Files = 0
External ICT Scan completed successfully
<改ざんされている可能性のある実行結果の特徴>
- 外部ICTの出力結果がStep9で終了している
- 新規ファイル検知数が0個である
Ivantiによると、2024年2月26日以降にリリースされた外部ICTでは、デフォルトで2つの新規ファイル、または、3つの新規ファイルと1つの不一致ファイルが検出されるとのことです。
Ivanti
Ivanti Connect Secure (Ics) Integrity Assurance
https://forums.ivanti.com/s/article/KB44755?language=en_US
本事例では一見、ツールが正常終了しているようにみえるため、侵害を見過ごしてしまうケースが懸念されます。そのため、外部ICTをご利用の際は、本事例を踏まえた出力結果の再確認を推奨します。
また、外部ICTの出力結果で以下に該当する場合もIvanti Connect Secureが侵害を受けている可能性が考えられますので、あわせて確認することを推奨します。
- クラスター構成で対抗機と結果が異なる
- 前回の結果と異なる
- 外部ICTの実行が途中で終了する
大塚商会
PulseSecureの整合性チェックツールの結果の改ざんについて
https://mypage.otsuka-shokai.co.jp/news/detail?linkBeforeScreenId=OMP20F0102S01P&oshiraseNo=0000005299
**************************************************
V. 攻撃事例Mandiantのブログによると、本脆弱性を悪用する攻撃は2025年3月中旬から観測されており、攻撃者は脆弱性を悪用後、SPAWNファミリーマルウェアなどを設置します。マルウェアの中には、整合性チェックツール(ICT)の結果を改ざんを試みるものも含まれているため、調査時には内部および外部のICTツールの実行に加えて、補足的な調査としてWebプロセスに関するコアダンプの監視なども検討することを同社は推奨しています。
Google Cloud(Mandiant)
Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457)
https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability
** 更新: 2025年04月30日追記 ****************
外部ICTの実行結果以外に、JPCERT/CCでは、本脆弱性を悪用した攻撃の痕跡である可能性が高い事象として、次のようなものを確認しています。
- ログ出力の停止
- 外部サーバーへのログ転送の停止
- ログの欠損
**************************************************
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
________
改訂履歴
2025-04-04 公開
2025-04-30 「I. 概要」「III. 対策」「IV. 侵害検出方法」「V. 攻撃事例」を追記
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
