2025/01/09 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure の脆弱性を CVE-2025-0282 (CVSS:9.0) を、Known Exploited Vulnerabilities (KEV) カタログに登録した。
Ivanti の脆弱性 CVE-2025-0282 は、Ivanti Connect Secure/Policy Secure/ZTA Gateways に影響を及ぼすものである。この欠陥を悪用する未認証の攻撃者は、リモート・コード実行を達成できる。その一方で、脆弱性 CVE-2025-0283 を悪性する、ローカルで認証された攻撃者は、権限の昇格を達成する。
Ivanti のアドバイザリには、「Connect Secure/Policy Secure/ZTA Gateways に影響を及ぼす、深刻な脆弱性に対処する更新プログラムをリリースした。脆弱性 CVE-2025-0282 の悪用に成功した未認証の攻撃者は、リモートコード実行の可能性を得る。また、脆弱性 CVE-2025-0283 の悪用に成功したローカル認証の攻撃者は、権限昇格の可能性を手にする」と記されている。
Ivanti は、限られた数の顧客に対する攻撃において、この脆弱性が悪用されたことを認めている。
同社のアドバイザリには、「これらの脆弱性が開示された時点で、限られた数の顧客の Ivanti Connect Secure アプライアンスが、CVE-2025-0282 を介して悪用されていることを認識している。ただし、Policy Secure/ZTA Gateways での悪用は検知していない」と記されている。
すでに Ivanti は、ローカル認証された攻撃者が、権限の昇格を達成し得る脆弱性 CVE-2025-0283 (CVSS:7.0) に対処し、重大度の高い欠陥であることを認めている。
拘束力のある運用指令 (BOD) 22-01:悪用された既知の脆弱性の重大なリスクの軽減するために、FCEB 機関は、カタログの欠陥を悪用する攻撃から、ネットワークを保護する必要がある。CISA は連邦政府機関に対して、2025年1月15日までに、この脆弱性を修正するよう命じている。
さらに専門家たちは、民間組織に対しても、このカタログを確認し、インフラの脆弱性に対処することを推奨している。
この脆弱性 CVE-2025-0282 ですが、第一報は 2025/01/08 の「Ivanti 製品群の脆弱性 CVE-2025-0282/0283 が FIX:Connect Secure の悪用を観測」です。したがって、脆弱性の公表と ほぼ同時に、CISAの KEV の登録が決定したことになります。ご利用のチームは、ご注意ください。よろしければ CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.