IvantiのVPN製品などに緊急の脆弱性、攻撃者が対策実施の妨害も

今回は「IvantiのVPN製品などに緊急の脆弱性、攻撃者が対策実施の妨害も」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Ivantiは米国時間1月8日、VPN製品の「Connect Secure」（旧：Pulse Connect Secure）や「Policy Secure」「Neurons for ZTA gateways」で発覚した2件の脆弱（ぜいじゃく）性に関するセキュリティ情報を公開した。攻撃者による対策実施の妨害行為も確認されているという。

　発覚した脆弱性は、スタックベースのバッファオーバーフローにより認証されていないリモートの攻撃者が任意のコードを実行できてしまう「CVE-2025-0282」と、同じくスタックベースのバッファオーバーフローによりローカル認証された攻撃者が権限を昇格できてしまう「CVE-2025-0283」の2件。共通脆弱性評価システム（CVSS）スコア（最大10.0）は、CVE-2025-0282が「9.0」、CVE-2025-0283が「7.0」とされている。

　脆弱性の影響を受ける製品は、CVE-2025-0282については、Connect Secureが22.7R2から22.7R2.4まで、Policy Secureが22.7R1から22.7R1.2まで、Neurons for ZTA gatewaysが22.7R2から22.7R2.3まで。CVE-2025-0283については、Connect Secureが22.7R2.4とそれ以前／9.1R18.9とそれ以前、Policy Secureが22.7R1.2とそれ以前、Neurons for ZTA gatewaysが22.7R2.3とそれ以前になる。

　脆弱性の修正プログラムは、Connect Secureでは「22.7R2.5」として提供が開始されている。しかし、CVE-2025-0283の影響を受ける9.1R18.9とそれ以前の製品については、既に同社のサポートが終了しており、脆弱性が修正されない。ユーザーはサポート中の製品などに変更する必要がある。

　Policy SecureとNeurons for ZTA gatewaysの修正プログラムは米国時間1月21日から提供される予定。Ivantiによると、Policy Secureはインターネット接続を想定しておらず、脆弱性が悪用されるリスクが大幅に低いという。Neurons for ZTA gatewaysは、実稼働時には脆弱性を悪用できないとし、Neurons for ZTA gatewaysのゲートウェイがZTAコントローラーに接続されていないままになっている場合に、そのゲートウェイで脆弱性が悪用されるリスクがあるとしている。

　2件の脆弱性の影響などを調査しているGoogle Cloud傘下のMandiantによると、2024年12月中旬にCVE-2025-0282の脆弱性を悪用するサイバー攻撃が検知された。

　Ivantiが提供している整合性確認ツール（Integrity Checker Tool：ICT）や外部のセキュリティ監視ツールで不審な兆候が見つかり、Ivantiや攻撃の影響を受けた顧客らと分析したところ、攻撃者がICTによる検出を回避したり、ツールの実行を途中で終了させたりしていることが分かったという。さらに侵害に成功した攻撃者が、ユーザーによる製品のアップグレードを妨害したり、偽のアップグレードを表示したりすることも判明したという。

　同社は、分析を継続中としつつ、攻撃されたアプライアンス製品から中国のスパイ組織の関与が疑われるマルウェア「SPAWN」関連の痕跡を確認したと説明。さらに、別のマルウェア「DRYHOOK」と「PHASEJAM」も発見したが、これらはサイバー犯罪組織との関係性が十分に判明しておらず、同社はCVE-2025-0282の脆弱性悪用攻撃に異なる複数の犯罪組織が関与している可能性を指摘している。