出典: Kristoffer Tripplaar(Alamy Stock Photo経由)
過去8か月間、古いIvantiの脆弱性が中国の脅威アクターによる日本の組織への継続的な攻撃を許してきました。
近年、ITサービス企業のIvantiは、その人気のエンドポイント製品に影響を与える新たに発見された脆弱性が絶え間なく発生し続けていることで、多くの悪評を受けてきました。これらの脆弱性は、数千件に及ぶサイバー侵害を引き起こし、著名な組織も被害を受けています。場合によっては、Ivantiの不安定なパッチ適用プロセス自体が話題となることもありました。しかし最終的には、すべての問題が修正され、その修正が顧客に配布されます。
しかし、「馬を水辺に連れて行くことはできても、水を飲ませることはできない」と言います。今年初め、同社はConnect Secure(SSL VPN製品)において、リモートコード実行(RCE)を可能にする2つの深刻なバッファオーバーフロー脆弱性を公表しました。それがCVE-2025-0282(共通脆弱性評価システム(CVSS)で10点中9.0の「クリティカル」評価)と、CVE-2025-22457(「クリティカル」9.8点)です。特に後者は、古いサポート終了(EOL)バージョンのConnect Secureにも影響を及ぼしました。
パッチが提供されているにもかかわらず、日本のコンピュータ緊急対応センター(JPCERT/CC)の研究者たちは、これらのバグを利用した進化し続ける攻撃によって、日本の組織が依然として被害を受けていることを確認しています。
日本におけるIvanti攻撃
日本でCVE-2025-0282およびCVE-2025-22457が悪用された最初の証拠は2024年12月に遡ります。当時はまだゼロデイでした。1月にかけて続いたキャンペーンでは、脅威アクターUNC5221が「SpawnChimera」と呼ばれるツールを主に用いて、ターゲットネットワークへの初期アクセスを獲得しました。
SpawnChimeraは「Spawn」マルウェアファミリーの派生で、SpawnAnt、SpawnMole、SpawnSnailの機能を組み合わせています。また、ステルス性を高めるための新機能もいくつか含まれており、皮肉にもCVE-2025-0282をパッチ適用する機能も備えており、UNC5221が使った同じ経路から他の攻撃者が侵入するのを防ぎます。
同時期、JPCERT/CCはCVE-2025-0282が「DslogdRAT」と呼ばれるツールで悪用されていることも確認しました。Webシェル経由で最初に感染した後、DslogdRATは永続化のために複数のプロセスを生成します。これは特定の時間帯のみ動作するよう設定されており、ターゲット地域の通常の業務時間のトラフィックに紛れます。また、攻撃者がターゲットシステムのフィンガープリント取得、ファイルのアップロード・ダウンロード、シェルコマンドの実行などを可能にします。
研究者たちは、この活動がUNC5221のSpawnChimeraキャンペーンと重複しているかどうかを断定できませんでしたが、DslogdRATに感染したシステムはSpawnファミリーのマルウェア「SpawnSnare」にも感染していたことを指摘しています。
3月と4月には、研究者たちはUNC5221によるCVE-2025-22467を標的とした別のキャンペーンを観測しました。
JPCERT/CCグローバルコーディネーション部門ディレクターの小宮山浩一郎氏によれば、UNC5221の攻撃における役割は初期アクセスの獲得までのようです。フォレンジック証拠によると、その後のキャンペーンでは別の脅威アクターにアクセスを引き渡し、そのアクターがラテラルムーブメント(横展開)を担当していると見られます。この横展開はその後も数か月にわたり継続しています。
この横展開により、侵害されたシステムには3つの新しいマルウェアが導入されました。いずれもカスタマイズされたオープンソース(OSS)ツールで、「MDifyLoader」は不要なコードが多く含まれるローダーで、カスタマイズされたCobalt Strike Beaconペイロードをメモリ上で実行します。MDifyLoaderはOSSプログラム「libpeconv」をベースにしています。
2つ目の「Fscan」は、Golangで書かれたネットワークスキャンツールで、「FilelessRemotePE」プログラムの派生です。JPCERT/CCが観測した攻撃では、Fscan専用ローダーがWindowsのイベントトレース(ETW)を回避する手法を用いて、EDRや他のセキュリティツールからの検知を逃れていました。3つ目の「vshell」は、同じくGolangで書かれたマルチプラットフォーム対応のリモートアクセス型トロイの木馬(RAT)です。vshellの注目すべき特徴は中国語チェック機能で、開発者の出自や意図を示唆している可能性があります。こうした長期的な事後活動に加え、CVE-2025-0282およびCVE-2025-22457は依然として積極的に悪用されています。
Connect Secure修正の難しさ
日本はIvanti技術の普及率が最も高い国の一つです。例えば、CVE-2025-22467が最初に発見された頃、ShadowServerのスキャンでは、脆弱なConnect Secureデバイスの最大の集中地は米国(852台)でした。しかし2位は日本(384台)でした。
現在の同様のスキャンでは、米国では540台が依然として脆弱なままですが、5か月で大幅に減少したとはいえ失望的な数字です。一方、日本では状況はさらに悪く、384台中327台が未修正のままです(記事公開時点)。
この理由は単純な怠慢だけではありません。CVE-2025-0282はConnect Secure 22.x以降のバージョンのみ影響しますが、CVE-2025-22467は22.xと9.1x(旧Pulse Connect Secure)両方に影響します。
新年の節目である2024年12月31日、IvantiはConnect Secure 9.1x(旧Pulse Connect Secure)のサポートを終了し、セキュリティ強化が施された22.xへの移行を推奨しました。したがって、CVE-2025-22467の脆弱性を抱える企業はアップグレードすればよい、ということになります。
しかし、それはそう簡単ではありませんでした。新システムは新しいLinuxカーネル上に構築されており、旧バージョンを動かしていたPulse Secure Appliance(PSA)はCPU性能が不足していました。つまり、バグ対応には機器の入れ替えや、Ivanti Neurons for Zero Trust Access(ZTA)を利用したクラウド移行が必要でした。
「その結果、多くの組織はCVE-2025-22457に関するパッチ適用やフォレンジック調査のためのベンダーサポートを受けられなくなっています」と小宮山氏は説明します。また、「日本ではネットワーク機器の管理を外部ITサービスプロバイダーに委託するのが一般的であり、これも問題の一因となっている可能性があります」と付け加えています。
翻訳元: https://www.darkreading.com/endpoint-security/fixed-ivanti-bugs-japan-orgs-6-months-later