Ivanti は、Ivanti Connect Secure (ICS)、Ivanti Policy Secure (IPS)、および Ivanti Secure Access Client (ISAC) のセキュリティアップデートをリリースし、3 つの重大な問題を含む複数の脆弱性に対処しました。
同社は、CISA とアカマイのセキュリティ研究者からの責任ある情報開示プログラム、および HackerOne バグ報奨金プラットフォームを通じて、これらの欠陥について知りました。
Ivanti はこのセキュリティ情報の中で、これらの問題のいずれかが積極的に悪用されているという報告は受けていないと述べています。しかし、ユーザーはできるだけ早くセキュリティアップデートをインストールすることを推奨している。
Ivanti社がパッチを適用した3つの重大なセキュリティ脆弱性は以下の通り:
- CVE-2025-22467:CVE-2025-22467: ICS のスタックベースのバッファオーバーフローにより、リモートの認証済み攻撃者が低権限でコードを実行可能。(重大度スコア 9.9)
- CVE-2024-38657:ファイル名の外部制御により、リモートの認証済み攻撃者に、 ICS および IPS において任意のファイル書き込みを実行される可能性があります。(重大度スコアは 9.1)
- CVE-2024-10644: コードインジェクションの脆弱性により、リモートの認証済み攻撃者に、 ICS および IPS においてリモートでコードを実行される可能性があります。(重大度スコアは 9.1)
この3つの問題のいずれかを悪用することは、リモートから可能ですが、攻撃者が認証されている必要があります。さらに、そのうちの2つについては、リモートでコードを実行したり、任意のファイルを書き込んだりするためには、管理者権限が必要です。
にもかかわらず、インサイダーの脅威や、フィッシングや過去の侵入、パスワードの総当たりによって認証情報を盗んだ攻撃者が、悪意のある操作のために欠陥を活用する可能性があるため、リスクは依然としてかなり大きい。
また、重大性が中程度から高いものまで、さらに5つの欠陥が含まれている。問題には、クロスサイト・スクリプティング(XSS)の問題、ハードコードされたキー、機密データの平文保存、不十分なパーミッションが含まれる。
脆弱性は、ICS 22.7R2.5およびそれ以降、IPS 22.7R1.2およびそれ以降、ISAC 22.7R4およびそれ以下に影響する。各脆弱性の影響を受ける製品の詳細は、以下の表を参照されたい。
この問題はICSバージョン22.7R2.6、IPSバージョン22.7R1.3、ISAC 22.8R1で対処されており、システム管理者はこれらのアップグレードを推奨している。
Ivanti社は、この問題がPulse Connect Secure 9.xにも影響することを認めているが、これらの製品のサポート期間が終了したため、修正プログラムを提供する予定はないと述べている、
「Pulse Connect Secure 9.xバージョンは、2024年6月にエンジニアリング終了を迎え、2024年12月31日にサポート終了を迎えました。
「このため、Connect Secureの9.xバージョンはバックポートされた修正を受けられなくなりました」と同社は付け加え、顧客にIvanti Connect Secureのバージョン22.7へのアップグレードを勧めている。
Ivanti社は、パッチが適用された欠陥に対する緩和策を提供しておらず、最新のアップデートを適用することが推奨される解決策である。
Comments