記事本文(要約)
Ivantiは、中国系スパイ行為のアクターが悪用していたリモートコード実行の脆弱性(CVE-2025-22457)に対するセキュリティ更新を発表しました。この脆弱性はスタックベースのバッファオーバーフローが原因で、Pulse Connect SecureやIvanti Connect Secure 22.7R2.5以前などに影響を与えます。この脆弱性は高い複雑性の攻撃によって認証不要で悪用可能であるため、Ivantiは急いで2月11日に修正パッチを提供しました。攻撃は中国関連のUNC5221によるもので、TRAILBLAZEやBRUSHFIREといった新しいマルウェアが使われました。Ivantiはユーザーに早急なシステムアップデートを呼びかけていますが、ZTAやPolicy Secureゲートウェイのパッチはまだ開発中です。この脆弱性を悪用した攻撃に関する調査は進行中で、多くのIvanti製品が過去にゼロデイ攻撃の標的になった経緯があります。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 03 Apr 2025 13:43:34 -0400
Original URL: https://www.bleepingcomputer.com/news/security/ivanti-patches-connect-secure-zero-day-exploited-since-mid-march/
詳細な技術情報
- CVE番号
- CVE-2025-22457
- 脆弱性の仕組み
- この脆弱性は、スタックベースのバッファオーバーフローに起因します。この脆弱性は、特定の入力がバッファの容量を超える場合に発生し、その結果、メモリ上の他のデータを上書きする可能性があります。
- 攻撃手法
- 攻撃者は、リモートからの高難度の攻撃によってこの脆弱性を悪用できます。この攻撃には認証やユーザーの操作が必要ありません。特に、UNC5221という中国との関連が指摘されるサイバースパイ集団がこの脆弱性を利用して新たなマルウェアを展開しています。
- 潜在的な影響
- 成功した脆弱性の悪用により、リモートコード実行が可能となり、攻撃者がシステムを完全に制御する恐れがあります。また、新たに特定されたマルウェア「TRAILBLAZE」および「BRUSHFIRE」の展開が観察されています。
- 推奨される対策
- 1. ソフトウェアの更新: すべてのユーザーは、脆弱性を修正したIvanti Connect Secure 22.7R2.6に更新することが強く推奨されます。
- 2. モニタリング: 外部のIntegrity Checker Tool (ICT)を使用してウェブサーバーのクラッシュを監視し、異常が発見された場合は、影響を受けた機器を工場出荷時状態にリセットすることが推奨されます。
- 3. パッチ適用: ZTAとIvanti Policy Secureゲートウェイ用のパッチはそれぞれ2025年4月19日と4月21日にリリース予定ですので、それらの公開され次第、即座に適用してください。
- 4. 移行の検討: サポートが終了したバージョンを使用している場合は、Ivantiに問い合わせて安全なバージョンへの移行を検討することが重要です。
- その他の注意点
- UNC5221は、2023年以来ネットワークエッジデバイスにおけるゼロデイ脆弱性をターゲットにしており、すでに他のIvanti製品やNetScaler機器でも悪用されています。
- まとめ
- 速やかなソフトウェア更新とセキュリティ監視を行うことで、これらの脆弱性からシステムを保護することができます。また、潜在的な攻撃に備えるために、適切なセキュリティ対策を導入することが重要です。
