各位
https://www.jpcert.or.jp/at/2025/at250008.html
I. 概要2025年4月4日(現地時間)、IvantiがIvanti Connect Secure、Policy Secure、ZTAゲートウェイにおけるスタックベースのバッファーオーバーフローの脆弱性(CVE-2025-22457)に関するアドバイザリを公表しました。本脆弱性は2025年2月11日にリリースされたIvanti Connect Secure 22.7R2.6で修正されており、当時は製品のバグと判定されていましたが、同社の再評価によりリモートコード実行につながる可能性があると判明しました。
Ivantiは本脆弱性を悪用する攻撃をすでに確認しており、22.7R2.5以前のバージョンのIvanti Connect Secureとサポートが終了しているIvanti Connect Secure9.1系(旧名: Pulse Connect Secure)のバージョンを使用する一部の顧客環境で、悪用が確認されているとのことです。アドバイザリの公表と同日、Mandiantがブログを公表し、遅くとも2025年3月中旬から本脆弱性を悪用する攻撃を観測していたと報告しています。JPCERT/CCでは詳細を確認中であるものの、国内ホストでも本脆弱性の悪用と思われる攻撃が発生していることを確認しています。
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報およびIvantiが提供する最新の情報を確認の上、対策および侵害有無の調査などを実施してください。また、今後も情報が更新される可能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。
Ivanti
April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Ivantiが提供する最新の情報をご確認ください。
- Ivanti Connect Secure 22.7R2.5およびそれ以前
- Ivanti Connect Secure 9.1R18.9およびそれ以前
- Ivanti Policy Secure 22.7R1.3およびそれ以前
- Ivanti Neurons for ZTA gateways 22.8R2およびそれ以前
なお、Ivanti Connect Secure(旧名: Pulse Connect Secure)の9.1系のバージョンは、2024年12月末までにサポートが終了しています。サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。
Ivanti
Granular Software Release EOL Timelines and Support Matrix
https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix
III. 対策Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を検討してください。
サポートが終了しているIvanti Connect Secure(旧名: Pulse ConnectSecure)の9.1系のバージョンについては、脆弱性を修正するパッチは提供されておらず、サポート対象バージョンへの移行が推奨されています。
Ivanti Policy Secure、Ivanti Neurons for ZTA gateways向けのパッチは、4月中頃に公開予定とのことです。
IV. 侵害検出方法Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool: ICT)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)と、機器に搭載される内部チェック(internal ICT)の内容や、他のセキュリティ監視ツールの内容を確認し、異常が検出された場合、追加の調査や対処を実施することが推奨されています。詳細や最新の情報はIvantiが提供する情報をご確認ください。
なお、同製品を侵害する攻撃で、整合性チェックツールの検索結果を細工する改ざんを行うケースがこれまでに確認されています。一見正常にツールが終了したようにみえても、実際には改ざんされた結果が表示されており、ツールを実行するステップが途中で終了している可能性がありますので、ツールの実行結果を確認時はご留意ください。詳細は、下記Mandiantブログ(今回のものではなく、1月公開のブログ)のRecommendationsの部分をご参考にしてください。
Google Cloud(Mandiant)
Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/
また、本脆弱性を悪用する攻撃に関する情報が他組織からも公表されていますので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」なども参考にしてください。
V. 攻撃事例Mandiantのブログによると、本脆弱性を悪用する攻撃は2025年3月中旬から観測されており、攻撃者は脆弱性を悪用後、SPAWNファミリーマルウェアなどを設置します。マルウェアの中には、整合性チェックツール(ICT)の結果を改ざんを試みるものも含まれているため、調査時には内部および外部のICTツールの実行に加えて、補足的な調査としてWebプロセスに関するコアダンプの監視なども検討することを同社は推奨しています。
Google Cloud(Mandiant)
Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457)
https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2025-0008
JPCERT/CC
2025-04-04
JPCERT/CC Alert 2025-04-04
Ivanti Connect Secureなどにおける脆弱性(CVE-2025-22457)に関する注意喚起https://www.jpcert.or.jp/at/2025/at250008.html
I. 概要2025年4月4日(現地時間)、IvantiがIvanti Connect Secure、Policy Secure、ZTAゲートウェイにおけるスタックベースのバッファーオーバーフローの脆弱性(CVE-2025-22457)に関するアドバイザリを公表しました。本脆弱性は2025年2月11日にリリースされたIvanti Connect Secure 22.7R2.6で修正されており、当時は製品のバグと判定されていましたが、同社の再評価によりリモートコード実行につながる可能性があると判明しました。
Ivantiは本脆弱性を悪用する攻撃をすでに確認しており、22.7R2.5以前のバージョンのIvanti Connect Secureとサポートが終了しているIvanti Connect Secure9.1系(旧名: Pulse Connect Secure)のバージョンを使用する一部の顧客環境で、悪用が確認されているとのことです。アドバイザリの公表と同日、Mandiantがブログを公表し、遅くとも2025年3月中旬から本脆弱性を悪用する攻撃を観測していたと報告しています。JPCERT/CCでは詳細を確認中であるものの、国内ホストでも本脆弱性の悪用と思われる攻撃が発生していることを確認しています。
本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に記載の情報およびIvantiが提供する最新の情報を確認の上、対策および侵害有無の調査などを実施してください。また、今後も情報が更新される可能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。
Ivanti
April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、Ivantiが提供する最新の情報をご確認ください。
- Ivanti Connect Secure 22.7R2.5およびそれ以前
- Ivanti Connect Secure 9.1R18.9およびそれ以前
- Ivanti Policy Secure 22.7R1.3およびそれ以前
- Ivanti Neurons for ZTA gateways 22.8R2およびそれ以前
なお、Ivanti Connect Secure(旧名: Pulse Connect Secure)の9.1系のバージョンは、2024年12月末までにサポートが終了しています。サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。
Ivanti
Granular Software Release EOL Timelines and Support Matrix
https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix
III. 対策Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を検討してください。
サポートが終了しているIvanti Connect Secure(旧名: Pulse ConnectSecure)の9.1系のバージョンについては、脆弱性を修正するパッチは提供されておらず、サポート対象バージョンへの移行が推奨されています。
Ivanti Policy Secure、Ivanti Neurons for ZTA gateways向けのパッチは、4月中頃に公開予定とのことです。
IV. 侵害検出方法Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、Ivantiが提供する整合性チェックツール(Integrity Checker Tool: ICT)の実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する外部チェック(external ICT)と、機器に搭載される内部チェック(internal ICT)の内容や、他のセキュリティ監視ツールの内容を確認し、異常が検出された場合、追加の調査や対処を実施することが推奨されています。詳細や最新の情報はIvantiが提供する情報をご確認ください。
なお、同製品を侵害する攻撃で、整合性チェックツールの検索結果を細工する改ざんを行うケースがこれまでに確認されています。一見正常にツールが終了したようにみえても、実際には改ざんされた結果が表示されており、ツールを実行するステップが途中で終了している可能性がありますので、ツールの実行結果を確認時はご留意ください。詳細は、下記Mandiantブログ(今回のものではなく、1月公開のブログ)のRecommendationsの部分をご参考にしてください。
Google Cloud(Mandiant)
Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/
また、本脆弱性を悪用する攻撃に関する情報が他組織からも公表されていますので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」なども参考にしてください。
V. 攻撃事例Mandiantのブログによると、本脆弱性を悪用する攻撃は2025年3月中旬から観測されており、攻撃者は脆弱性を悪用後、SPAWNファミリーマルウェアなどを設置します。マルウェアの中には、整合性チェックツール(ICT)の結果を改ざんを試みるものも含まれているため、調査時には内部および外部のICTツールの実行に加えて、補足的な調査としてWebプロセスに関するコアダンプの監視なども検討することを同社は推奨しています。
Google Cloud(Mandiant)
Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457)
https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-exploiting-critical-ivanti-vulnerability
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
