【注意喚起】 Ivanti Connect Secureなどにおける脆弱性（CVE-2025-0282）に関する注意喚起（【更新】2/13）

  https://www.jpcert.or.jp/at/2025/at250001.html
引用元: JPCERTコーディネーションセンター 注意喚起　

詳細、最新情報については、上記引用元を参照ください。
以下に概要を抜粋しております。

I. 概要
2025年1月8日（現地時間）、IvantiはIvanti Connect Secure（旧: Pulse
Connect Secure）などにおける脆弱性に関するアドバイザリを公開しました。
スタックベースのバッファオーバーフローの脆弱性で、遠隔の攻撃者が認証不
要で任意のコードを実行する可能性がある脆弱性（CVE-2025-0282）と、認証
された攻撃者が権限を昇格できる脆弱性（CVE-2025-0283）が公表されていま
す。

Ivantiは一部の顧客のIvanti Connect Secureで、脆弱性（CVE-2025-0282）を
悪用する攻撃を確認しているとのことです。また、Mandiant社が悪用事案に関
するレポートを公表しています。

** 更新: 2025年02月13日追記 ********************************************
JPCERT/CCでは、本脆弱性公開前の2024年12月下旬から本脆弱性が悪用された
被害を国内で複数確認しています。本脆弱性はすでに複数の攻撃グループに使
用されています。
************************************************************************

本脆弱性の影響を受ける製品を利用している場合、後述「III. 対策」以降に
記載の情報およびIvantiが提供する最新の情報を確認の上、対策の実施および
侵害有無を確認する調査などを推奨します。また、今後も情報が更新される可
能性があるため、Ivantiなどが公開する情報を注視いただくことを推奨します。

    Ivanti
    Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)
    https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283


II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。詳細は、
Ivantiが提供する最新の情報をご確認ください。

（CVE-2025-0282の脆弱性） 
  - Ivanti Connect Secure 22.7R2から22.7R2.4まで 
  - Ivanti Policy Secure 22.7R1から22.7R1.2まで 
  - Ivanti Neurons for ZTA gateways 22.7R2から22.7R2.3まで 

（CVE-2025-0283の脆弱性） 
  - Ivanti Connect Secure 22.7R2.4およびそれ以前 
  - Ivanti Connect Secure 9.1R18.9およびそれ以前 
  - Ivanti Policy Secure 22.7R1.2およびそれ以前 
  - Ivanti Neurons for ZTA gateways 22.7R2.3およびそれ以前 

なお、CVE-2025-0283（権限昇格の脆弱性）の影響を受けるIvanti Connect
Secureの9系のバージョンは、2024年12月末までにサポートが終了しています。
サポート対象バージョンの最新の状況はIvantiの次の情報をご確認ください。

    Ivanti
    Granular Software Release EOL Timelines and Support Matrix
    https://forums.ivanti.com/s/article/Granular-Software-Release-EOL-Timelines-and-Support-Matrix


III. 対策
Ivantiが提供する最新の情報を確認の上、脆弱性を修正するパッチの適用を
検討してください。


IV. 侵害検出方法
Ivanti Connect Secureで本脆弱性を悪用する攻撃を検出する方法として、
Ivantiが提供する整合性チェックツール（Integrity Checker Tool: ICT）の
実行が推奨されています。Ivantiが提供するツールをダウンロードし実行する
外部チェック（external ICT）と、機器に搭載される内部チェック
（internal ICT）の内容や、他のセキュリティ監視ツールの内容を確認し、異
常が検出された場合、追加の調査や対処を実施することが推奨されています。
詳細や最新の情報はIvantiが提供する情報をご確認ください。

また、同脆弱性を悪用する攻撃に関する情報が他組織からも公表されています
ので、攻撃の被害を受けた可能性を調べる上では、後述する「V. 攻撃事例」
なども参考にしてください。


V. 攻撃事例
同脆弱性を悪用する攻撃について解説するMandiant社の情報によると、攻撃者
が整合性チェックツール（ICT）による検出の回避を試み、ICTツールの実行が
途中で終了する事例を確認しているとのことです。その他にも、侵害後には
ユーザーによるアップグレードを妨害しつつ、偽のアップグレードの進捗が表
示される機能が埋め込まれるとしています。

また、脆弱性を悪用する前の偵察行動として、攻撃者が次のURLへアクセスし、
製品のバージョン推定を試みる活動を確認していると指摘しています。

  - /dana-cached/hc/hc_launcher.22.7.2.2615.jar 
  - /dana-cached/hc/hc_launcher.22.7.2.3191.jar 
  - /dana-cached/hc/hc_launcher.22.7.2.3221.jar 
  - /dana-cached/hc/hc_launcher.22.7.2.3431.jar 

    Mandiant
    Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation
    https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day/

** 更新: 2025年02月13日追記 ********************************************
JPCERT/CCでは、本脆弱性公開前の2024年12月下旬から本脆弱性が悪用された
被害を国内で複数確認しています。本脆弱性はすでに複数の攻撃グループに使
用されています。JPCERT/CCは対応したインシデントの中で、マルウェアSPAWN
ファミリーのアップデートを確認しました。ハッシュ値やファイルパスなどに
ついては、次のブログの情報をご確認ください。

　　ー