記事本文(要約)
Rapid7のセキュリティ研究者は、IvantiのConnect Secure VPN機器の脆弱性(CVE-2025-22457)に対するリモートコード実行の手法を公開し、パッチ適用の緊急性を高めています。この脆弱性は中国のハッカーグループによってすでに悪用されており、Rapid7はバッファオーバーフローを利用してHTTPヘッダーを巧妙に操作する方法で完全なリモートコード実行を可能にすることを指摘しています。この脆弱性は、Connect Secureソフトウェアの22.7R2.5以前のバージョンおよびサポート終了のPulse Connect Secure 9.xに影響し、CVSSスコア9/10の重大なものです。Ivantiはこの問題を最初は誤診しており、後にMandiantの介入により問題が再評価されました。企業は直ちにバージョン22.7R2.6へのアップデートと、古いPulse Connect Secure機器の移行を推奨されています。Rapid7はパッチを当てていないソフトウェアが脆弱性を意識されずに攻撃者によって逆解析されるリスクを指摘しています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 11 Apr 2025 17:48:48 +0000
Original URL: https://www.securityweek.com/rapid7-reveals-rce-path-in-ivanti-vpn-appliance-after-silent-patch-debacle/
詳細な技術情報
- CVE番号
- CVE-2025-22457: この脆弱性は、IvantiのConnect Secure製品に関連付けられたものであり、Ivantiが最初に公開文書でCVE番号を発行しなかったため、Mandiantの指摘後に初めて明らかになりました。
- 脆弱性の仕組み
- バッファオーバーフロー: この脆弱性は、Connect SecureのHTTP(S)ウェブサーバーコンポーネントにおけるチェックされていないバッファオーバーフローに起因しています。具体的には、「X-Forwarded-For」ヘッダの値の長さを操作することで、スタックの重要な部分を上書きすることが可能です。
- 攻撃手法
- HTTPヘッダーの操作: 攻撃者は特定のHTTPヘッダーを巧妙に構築することで、単純なクラッシュからリモートコード実行(RCE)にエスカレーションすることができます。
- 潜在的な影響
- リモートコード実行(RCE): 成功した攻撃は、リモートの攻撃者が任意のコードを実行できる可能性があり、システム全体の制御が奪われる危険性があります。
- CVSSスコア: 9/10: 非常に重大なセキュリティリスクであることを示しています。
- 推奨される対策
- 1. ソフトウェアのアップデート: Ivanti Connect Secureバージョン22.7R2.6に速やかにアップデートすることが推奨されます。
- 2. サポート終了製品の移行: サポートが終了しているPulse Connect Secureアプライアンスからの移行を検討する必要があります。
- 3. リバースエンジニアリングの注意: ベンダーパッチをリバースエンジニアリングして脆弱性を特定する高度な攻撃者の存在を念頭に置き、セキュリティパッチを速やかに適用することが重要です。
- 4. ウェブサーバークラッシュの監視: ウェブサーバーのクラッシュを監視することで、攻撃の試みを示す有用なインジケータとして活用できます。
- その他の情報
- ゼロデイ攻撃: Ivantiはこの件に関連して、さらなるゼロデイ攻撃の可能性を指摘し、最新のセキュリティ情報に注意を払うことが求められています。
- 関連製品へのパッチ提供予定: IvantiはPolicy SecureとZTA Gatewayのパッチを4月に公開予定としていますが、これらのプラットフォームに対する活発な攻撃はまだ観測されていません。
- 緊急対応
- CISAの指示: アメリカのサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、脆弱なIvanti製品の撤去を促す緊急指令を発行しています。
