Ivantiアプリ/サービスに展開されたTRAILBLAZE & BRUSHFIREマルウェア

ITソフトウェアベンダーのIvantiは、Ivanti Connect Secure (ICS) VPNアプライアンス、Pulse Connect Secure、Ivanti Policy Secure、およびZTAゲートウェイに影響を与える、現在パッチが適用された重大なセキュリティ脆弱性の詳細を最近発表しました。この脆弱性は、実際に悪用されています。

この脆弱性はCVE-2025-22457（CVSSスコア9.0）として特定されており、リモートの未認証攻撃者が影響を受けたシステムでリモートコード実行を達成できるスタックベースのバッファオーバーフローです。これにより、システム全体が危険にさらされる可能性があります。ただし、この欠陥は2025年2月11日にリリースされたIvanti Connect Secureバージョン22.7R2.6で修正されました。

「この脆弱性は、文字がピリオドと数字に制限されたバッファオーバーフローであり、リモートコード実行として悪用可能ではないと評価され、サービス拒否の要件を満たしていないと判断されました」と、Ivantiは木曜日に発表したセキュリティアドバイスで述べています。

この脆弱性は、以下の製品およびバージョンに影響を与えます：

Ivantiは、「限られた数の顧客」がIvanti Connect Secure（22.7R2.5およびそれ以前）およびPulse Connect Secure 9.1xアプライアンスを使用しており、これらは2024年12月にサポートが終了したため、悪用されていることを認識していると述べました。また、ポリシーセキュアやZTAゲートウェイの悪用については、開示時点では認識していないと付け加えました。

「顧客は外部ICTを監視し、ウェブサーバーのクラッシュを探すべきです。ICTの結果に侵害の兆候が見られる場合は、アプライアンスの工場出荷時リセットを行い、その後、バージョン22.7R2.6を使用してアプライアンスを再稼働させるべきです」と、同社は付け加えました。

Ivantiによる開示を受けて、Google傘下のMandiantは、CVE-2025-22457脆弱性の悪用後の追加調査結果の詳細を含む別のブログ投稿を発表しました。

Mandiantによると、CVE-2025-22457の悪用の最初の既知の事例は2025年3月中旬に観察され、中国に関連するスパイグループUNC5221によって行われたと考えられています。このグループは、2023年以降Ivantiの製品におけるゼロデイ脆弱性を悪用した歴史があります。UNC5221は、以前に3つのゼロデイ脆弱性を悪用しています：CVE-2025-0282、CVE-2023-46805、およびCVE-2024-21887。

自分自身を守る

一方、Mandiantは、CVE-2025-22457脆弱性に対処するために、Ivanti Connect Secure（ICS）アプライアンスをバージョン22.7R2.6またはそれ以降にアップグレードして、利用可能なパッチを直ちに適用するよう組織に強く促しています。

さらに、組織は外部および内部の整合性チェックツール（「ICT」）を使用し、疑わしい活動が検出された場合はIvantiサポートに連絡することを推奨しています。