PoC Exploit Released for Ivanti Connect Secure Flaw CVE-2025-0282 Used in Attacks
2025/01/16 SecurityOnline — Ivanti Connect Secure の深刻なゼロデイ脆弱性 CVE-2025-0282 (CVSS:9.0) に対する、脆弱性の詳細な分析と PoC エクスプロイトが、watchTowr Labs により公開された。この脆弱性を悪用する攻撃者は、脆弱なデバイスへのマルウェアのインストールを積極的に展開している。
このスタックバッファ・オーバーフロー脆弱性は、未認証の攻撃者に対して、影響を受けるシステム上でのコード・リモート実行を許すという、きわめて重大なリスクをもたらしている。
CVE-2025-0282 は、以下の Ivanti 製品に影響する:
- Ivanti Connect Secure バージョン 22.7R2.4 以下
- Ivanti Policy Secure バージョン 22.7R1.2 以下
- Ivanti Neurons for ZTA Gateways バージョン 22.7R2.3 以下
この脆弱性は、IF-T 接続を処理するように設計されたコード内の、スタックバッファ ・オーバーフローに起因する。その悪用に成功した攻撃者は、任意のシェルコマンドを実行し、侵害したデバイスの完全な制御を手にする。
Ivanti Integrity Checker Tool (ICT) により、ユーザーのアプライアンス上での疑わしいアクティビティが報告された後に、Ivanti から積極的な悪用の発見が報告されている。同社内での調査の結果として、CVE-2025-0282 がゼロデイ脆弱性として悪用されていることが確認された。
この脆弱性の詳細な分析を行った WatchTowr Labs は、「CVE-2025-0282 の根本的な原因は、IF-T 接続を処理するように設計された、コード内のスタックバッファ・オーバーフローである。Ivanti によるパッチのリリースから1週間も経たないうちに、パッチ未適用のデバイス上でシェルコマンドを実行する PoC エクスプロイトが、WatchTowr Labs により公開された。Stephen Fewer によるの Ruby ベースの PoC は、この脆弱性の深刻さと、悪用の容易さ強調するものだ」と解説している。
この脅威の拡大に対応する CISA は、KEV カタログに CVE-2025-0282 を追加した。それにより、米国の連邦政府機関は、この脆弱性から影響を受けるデバイスを、1月15日までに保護することが義務付けられた。
ZTA Gateways において、Ivanti Connect Secure/Policy Secure/Neurons を使用している組織に対しては、提供されているパッチの速やかな適用が、強く推奨される。
Ivanti Connect Secure の脆弱性 CVE-2025-0282 ですが、PoC が提供され、積極的な悪用が観測されているとのことです。ご利用のチームは、十分に ご注意ください。なお、この脆弱性に関する第一報は、2025/01/08 の「Ivanti 製品群の脆弱性 CVE-2025-0282/0283 が FIX:Connect Secure の悪用を観測」です。よろしければ、Ivanti で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.