Ivanti社、Neurons for ITSMの認証バイパスに関する重大な欠陥を警告

Ivanti社は、同社のITサービス管理ソリューション「Neurons for ITSM」のセキュリティアップデートをリリースし、重大な認証バイパスの脆弱性を緩和した。

CVE-2025-22462として追跡されているこのセキュリティ上の欠陥は、システム構成によっては、認証されていない攻撃者がパッチの適用されていないシステムに対して、複雑度の低い攻撃で管理者アクセス権を取得する可能性があります。

同社が本日発表したセキュリティアドバイザリで強調しているように、同社のガイダンスに従った組織は、攻撃にさらされにくくなっている。

「IISウェブサイトの保護に関するIvanti 社のガイダンスに従い、限られた IP アドレスとドメイン名へのアクセスを制限している顧客は、その環境に対するリスクが減少している」とIvanti 社は述べている。

Ivanti社は、「社外ネットワークからソリューションにログインするユーザーを持つ顧客も、ソリューションにDMZが設定されていることを確認すれば、環境へのリスクは軽減される」と述べている。

Ivanti社は、CVE-2025-22462は、バージョン2023.4、2024.2、2024.3、およびそれ以前のバージョンを実行しているオンプレミスのインスタンスにのみ影響すると付け加え、この脆弱性が顧客をターゲットに悪用されている証拠は見つからなかったと述べた。

また同社は本日、クラウドサービスアプライアンス（CSA）にデフォルト認証情報のセキュリティ上の欠陥（CVE-2025-22460）があり、ローカルの認証済み攻撃者が脆弱なシステム上で特権をエスカレートさせる可能性があるため、パッチを適用するよう顧客に呼びかけた。

この脆弱性は実際には悪用されていないが、Ivanti 社は、本日のセキュリティ更新プログラムをインストールした後ではパッチが正しく適用されないと警告し、管理者に対して、潜在的な攻撃からネットワークを確実に保護するために、ゼロから再インストールするか、これらの緩和策を使用するよう求めている。

「クラウドサービスアプリケーションのインストールがバージョン5.0.5にアップグレードされた場合、この修正が自動的に適用されないことが確認されています。これは将来のリリースで対処される予定です」とIvanti社は述べている。

同社は先月、少なくとも2025年3月中旬以降にマルウェアを展開するためのリモート・コード実行攻撃で、中国に関連するスパイグループUNC5221によって悪用されたConnect Secureの重大なゼロデイにもパッチを適用した。

CISAとFBIが1月に警告したように、脅威当事者は、9月以降にパッチが適用されたIvanti Cloud Service Appliance（CSA）のセキュリティ脆弱性を悪用して、脆弱なネットワークに侵入しています。

昨年には、同社のVPNアプライアンスや ICS、IPS、ZTAゲートウェイを標的としたゼロデイ攻撃で、他にも複数のIvantiのセキュリティ上の欠陥が悪用されている。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px; width: 100%; } .ia_button { width: 100%; } .

攻撃の93%を支えるMITRE ATT^&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。

レッドレポート2025を読む