英国の国家サイバーセキュリティセンター(NCSC)と米国の同等機関は、Ivantiの顧客に対し、新たに見つかった2つの脆弱性(うち1つは現在も積極的に悪用されている)を緩和するため、直ちに対応するよう呼びかけた。
Ivantiは水曜日、同社のIvanti Connect Secure、Policy Secure、ZTAゲートウェイ製品に存在する2つのスタックベースのバッファオーバーフロー の欠陥について概説したセキュリティアドバイザリを公開した。
CVE-2025-0282 はCVSSスコア9.0の重大なゼロデイ脆弱性で、セキュリティベンダーによれば、認証なしのリモートコード実行(RCE)につながる可能性がある。影響を受けるのは、Ivanti Connect Secureのバージョン22.7R2.5より前、Ivanti Policy Secureのバージョン22.7R1.2より前、そしてZTAゲートウェイ向けIvanti Neuronsのバージョン22.7R2.3より前である。
2つ目の脆弱性CVE-2025-0283は、ローカルの認証済み攻撃者が権限昇格できる可能性があるとIvantiは警告した。影響を受けるのは、Ivanti Connect Secureのバージョン22.7R2.5より前、Ivanti Policy Secureのバージョン22.7R1.2より前、そしてZTAゲートウェイ向けIvanti Neuronsのバージョン22.7R2.3より前である。
これらの問題はMicrosoftとGoogle Mandiantの研究者によって発見された。後者は主張し、2024年12月中旬以降、CVE-2025-0282のゼロデイ悪用を観測していたという。
Ivantiの アドバイザリには次のように記されている。「開示時点で、限られた数の顧客のIvanti Connect SecureアプライアンスがCVE-2025-0282により悪用されていることを把握している。これらのCVEがIvanti Policy SecureまたはZTAゲートウェイで悪用されていることは把握していない。」
「開示時点で、CVE-2025-0283の悪用は把握していない。」
Ivantiのゼロデイに関する詳細はこちら:実際の攻撃で積極的に悪用されている2つのIvantiゼロデイ
両脆弱性に対するパッチは提供されているが、対象はIvanti Connect Secure 製品のみである。影響を受ける他の2つのソリューションの利用者は、修正が提供される1月21日まで待つ必要がある。ただし、現時点ではこれら製品が実際の攻撃で悪用されているとの報告はない。
NCSCと米国のサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、Ivantiの推奨に従い、同じ助言を提示した。
- IvantiのIntegrity Checker Tool(ICT)を実行し、CVE-2025-0282の悪用を検出する
- 侵害されている場合は、直ちにNCSC/CISAに報告する
- 工場出荷時リセットを実施し、Ivanti Connect Secure向けの最新セキュリティ更新をインストールする
- Ivanti Policy Secureアプライアンスが正しく構成され、インターネットに公開されていないことを確認する
- Ivanti Neurons ZTAゲートウェイは本番環境では悪用できない。しかし、ゲートウェイを生成したままZTAコントローラに未接続で放置すると、ゲートウェイ上で悪用されるリスクがある
- 継続的な監視と脅威ハンティングを実施する
同機関は「NCSCは英国への影響を完全に把握するために取り組んでおり、英国のネットワークに影響する積極的な悪用事例を調査している」と述べた。
ほぼ1年前、Ivanti Connect Secure、Policy Secure およびZTAゲートウェイで、高深刻度の認証バイパス脆弱性が発見された。
翻訳元: https://www.infosecurity-magazine.com/news/critical-ivanti-zeroday-exploited/
