Ivanti

Ivanti社は、ハッカーがゼロデイ攻撃でCVE-2025-0282として追跡されているConnect Secureのリモートコード実行の脆弱性を悪用し、アプライアンスにマルウェアをインストールしたことを警告している。

同社によると、Ivanti Integrity Checker Tool(ICT)が顧客のアプライアンス上で悪意のあるアクティビティを検出した後、同社はこの脆弱性に気づいたという。Ivantiは調査を開始し、脅威者がゼロデイとしてCVE-2025-0282を積極的に悪用していることを確認した。

CVE-2025-0282は、バージョン22.7R2.5より前のIvanti Connect Secure、バージョン22.7R1.2より前のIvanti Policy Secure、およびバージョン22.7R2.3より前のIvanti Neurons for ZTAゲートウェイにおけるスタックベースのバッファオーバーフローの重大な(9.0)バグであり、認証されていない攻撃者がリモートでデバイス上でコードを実行することを可能にします。

この欠陥は3つの製品すべてに影響するが、Ivanti社によると、Ivanti Connect Secureアプライアンスでのみ悪用が確認されているという。

「Ivantiのブログ投稿によると、「公開時点で、CVE-2025-0282によって悪用された顧客のIvanti Connect Secureアプライアンスの数は限られている。

「これらのCVEがIvanti Policy SecureやNeurons for ZTAゲートウェイで悪用されていることは認識していない。

Ivantiは、Ivanti Connect Secureのセキュリティパッチを急いでリリースしたが、これはファームウェア・バージョン22.7R2.5で解決されている。

しかし、Ivanti Policy SecureとIvanti Neurons for ZTA Gatewaysのパッチは、本日発表されたセキュリティ情報によると、1月21日まで準備できない。

Ivanti Policy Secure:このソリューションはインターネットに接続することを想定していないため、悪用されるリスクは大幅に低くなります。Ivanti Policy Secureの修正プログラムは、2025年1月21日にリリースされる予定であり、標準のダウンロードポータルから入手できる。顧客は、IPSアプライアンスがIvantiの推奨に従って構成され、インターネットに公開されていないことを常に確認する必要があります。これらのCVEがIvanti Policy Secureで悪用されていることは認識していません。

ZTA ゲートウェイ用 Ivanti Neurons:Ivanti Neurons ZTA ゲートウェイは、実稼働時に悪用されることはありません。このソリューションのゲートウェイが生成され、ZTAコントローラに接続されないまま放置された場合、生成されたゲートウェイが悪用されるリスクがあります。この修正は2025年1月21日にリリースされる予定です。これらのCVEがZTAゲートウェイで悪用されていることは認識していません。

同社は、すべてのIvanti Connect Secure管理者が内部および外部のICTスキャンを実施することを推奨している。

スキャンで問題がなければ、Ivanti Connect Secure 22.7R2.5にアップグレードする前に工場出荷時リセットを実行することを推奨する。

しかし、スキャンで侵害の兆候が見られた場合は、ファクトリーリセットでインストールされているマルウェアをすべて削除する必要があるとIvantiは述べている。その後、アプライアンスはバージョン22.7R2.5を使用して本番稼動に戻す必要がある。

本日のセキュリティ・アップデートでは、CVE-2025-0283として追跡されている2つ目の脆弱性も修正されている。この欠陥は、認証されたローカル攻撃者に特権の昇格を許すものです。

Ivanti社は、Mandiant社およびMicrosoft Threat Intelligence Centerと協力して攻撃を調査しているため、まもなく検出されたマルウェアに関するレポートを見ることができるだろう。

この攻撃についてさらに質問がある場合は、Ivanti社に連絡し、回答が得られ次第、この記事を更新する予定である。

10月、Ivantiは、攻撃で積極的に悪用された3つのCloud Services Appliance(CSA)のゼロデイを修正するセキュリティ・アップデートをリリースした。