IvantiのVPN製品などに緊急の脆弱性、攻撃者が対策実施の妨害も

今回は「IvantiのVPN製品などに緊急の脆弱性、攻撃者が対策実施の妨害も」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Ivantiは米国時間1月8日、VPN製品の「Connect Secure」(旧:Pulse Connect Secure)や「Policy Secure」「Neurons for ZTA gateways」で発覚した2件の脆弱(ぜいじゃく)性に関するセキュリティ情報を公開した。攻撃者による対策実施の妨害行為も確認されているという。

 発覚した脆弱性は、スタックベースのバッファオーバーフローにより認証されていないリモートの攻撃者が任意のコードを実行できてしまう「CVE-2025-0282」と、同じくスタックベースのバッファオーバーフローによりローカル認証された攻撃者が権限を昇格できてしまう「CVE-2025-0283」の2件。共通脆弱性評価システム(CVSS)スコア(最大10.0)は、CVE-2025-0282が「9.0」、CVE-2025-0283が「7.0」とされている。

 脆弱性の影響を受ける製品は、CVE-2025-0282については、Connect Secureが22.7R2から22.7R2.4まで、Policy Secureが22.7R1から22.7R1.2まで、Neurons for ZTA gatewaysが22.7R2から22.7R2.3まで。CVE-2025-0283については、Connect Secureが22.7R2.4とそれ以前/9.1R18.9とそれ以前、Policy Secureが22.7R1.2とそれ以前、Neurons for ZTA gatewaysが22.7R2.3とそれ以前になる。

 脆弱性の修正プログラムは、Connect Secureでは「22.7R2.5」として提供が開始されている。しかし、CVE-2025-0283の影響を受ける9.1R18.9とそれ以前の製品については、既に同社のサポートが終了しており、脆弱性が修正されない。ユーザーはサポート中の製品などに変更する必要がある。

 Policy SecureとNeurons for ZTA gatewaysの修正プログラムは米国時間1月21日から提供される予定。Ivantiによると、Policy Secureはインターネット接続を想定しておらず、脆弱性が悪用されるリスクが大幅に低いという。Neurons for ZTA gatewaysは、実稼働時には脆弱性を悪用できないとし、Neurons for ZTA gatewaysのゲートウェイがZTAコントローラーに接続されていないままになっている場合に、そのゲートウェイで脆弱性が悪用されるリスクがあるとしている。

 2件の脆弱性の影響などを調査しているGoogle Cloud傘下のMandiantによると、2024年12月中旬にCVE-2025-0282の脆弱性を悪用するサイバー攻撃が検知された。

 Ivantiが提供している整合性確認ツール(Integrity Checker Tool:ICT)や外部のセキュリティ監視ツールで不審な兆候が見つかり、Ivantiや攻撃の影響を受けた顧客らと分析したところ、攻撃者がICTによる検出を回避したり、ツールの実行を途中で終了させたりしていることが分かったという。さらに侵害に成功した攻撃者が、ユーザーによる製品のアップグレードを妨害したり、偽のアップグレードを表示したりすることも判明したという。

 同社は、分析を継続中としつつ、攻撃されたアプライアンス製品から中国のスパイ組織の関与が疑われるマルウェア「SPAWN」関連の痕跡を確認したと説明。さらに、別のマルウェア「DRYHOOK」と「PHASEJAM」も発見したが、これらはサイバー犯罪組織との関係性が十分に判明しておらず、同社はCVE-2025-0282の脆弱性悪用攻撃に異なる複数の犯罪組織が関与している可能性を指摘している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
NFTを利用してクリエイターが自分の知的財産を守るブロックチェーンのプラットフォーム「S!NG」
ブロックチェーン
2021-04-28 20:59
IT企業の目指すヒントは総合商社にあり
IT関連
2021-02-12 19:37
「Microsoft Teams」の一部機能、2月開始の有料プランに移行へ
IT関連
2023-01-19 21:35
Amazon上のブランドの買収と成長を目指すBenitago Groupが債務と株式を合わせて約60億円調達
ネットサービス
2021-03-28 06:02
「Windows Admin Center」新プレビュー発表–多数の新機能
IT関連
2021-01-19 06:31
米国人の過半数、連邦政府によるAI規制を支持
IT関連
2023-08-16 05:10
三菱UFJニコスかたる詐欺メールに注意 偽の会員サイトで個人情報を窃取
セキュリティ
2021-02-18 21:21
2024年の「AWS re:Invent」は、“見て、体験して”楽しむ展示
IT関連
2024-12-29 05:14
現在の勤務先にとどまる意向が高いITワーカーは約29%–ガートナー調査
IT関連
2022-03-19 16:51
“説明可能なAI”の教科書、日本語訳を公開 「AIに何ができ、何ができないか」理解の手引きに
ロボット・AI
2021-05-19 09:42
ムーンショット型研究開発制度として本格始動、量子コンピューターへの期待
IT関連
2021-01-29 20:43
誰でも簡単にAI分析が使えるSaaS「datagusto」が8500万円を調達、創業者「自動調理器のようなツール」
人工知能・AI
2021-05-25 04:26
SaaSの“型”を用意して移行を簡素化–AWSジャパン、クラウド移行サービスを紹介
IT関連
2021-06-11 04:31
2022年下期のランサムウェアの脅威と対策の傾向
IT関連
2022-12-30 02:55