Ivanti ICS の脆弱性 CVE-2025-22457:中国スパイ・グループ UNC5221 による悪用を観測

Ivanti patches Connect Secure zero-day exploited since mid-March

2025/04/03 BleepingComputer — Ivanti が 2025年4月3日に公開したのは、Ivanti Connect Secure (ICS) に存在する、深刻なリモート・コード実行の脆弱性を修正するセキュリティ・アップデートだ。この脆弱性は、中国関連のスパイ・グループにより、遅くとも 2025年3月中旬から、マルウェアの展開で悪用されていたことが確認されている。

この脆弱性は CVE-2025-22457 として追跡されており、スタックバッファ・オーバーフローの欠陥に起因する。影響を受ける製品には、Pulse Connect Secure 9.1x (2024年12月にサポート終了)/Ivanti Connect Secure 22.7R2.5 以下/Policy Secure/ZTA ゲートウェイ用 の Neurons などが含まれる。

Ivanti によると、この脆弱性には、リモートからの高度な攻撃により悪用される可能性があり、その際に認証やユーザーの操作は必要とされないという。この問題が浮上した当初において、Ivanti は製品の不具合と認識していたが、後に脆弱性であることを認め、2025年2月11日の Ivanti ICS 22.7R2.6 のリリースにより修正を行っている。

Ivanti は、「この脆弱性は、ピリオドと数字のみで構成された文字列によるバッファ・オーバーフローであり、当初の評価では、リモート・コード実行が可能な脆弱性ではなく、サービス拒否 (DoS) の要件も満たしていないと判断された。しかし、我々とセキュリティ・パートナーは、この脆弱性が高度な手法により悪用可能であることを突き止め、実際の攻撃において悪用されている証拠も特定した。我々は、すべてのユーザーに対して推奨するのは、脆弱性を修正した Ivanti ICS 22.7R2.6 へ速やかにアップデートすることだ」と述べている。

なお、現時点において、ZTA や Ivanti Policy Secure ゲートウェイ向けのセキュリティ・パッチは開発中であり、それぞれが、4月19日と 4月21日にリリースされる予定だ。ただし Ivanti は、「これらのゲートウェイを標的とした悪用は、現時点では確認されていない。また、この脆弱性によるリスクも、実質的に低減されている」と述べている。

Ivanti が推奨しているのは、外部の ICT (Integrity Checker Tool) による監視や、Web サーバーのクラッシュの有無を確認である。万が一、侵害の兆候が発見さた場合には、影響を受けたアプライアンスを工場出荷時の設定にリセットし、ソフトウェア・バージョン 22.7R2.6 を使用して再起動するよう、同社は呼びかけている。

Product NameAffected Version(s)Resolved Version(s)Patch Availability
Ivanti Connect Secure22.7R2.5 and prior22.7R2.6 (released February 2025)Download Portal
Pulse Connect Secure (EoS)9.1R18.9 and prior22.7R2.6Contact Ivanti to migrate
Ivanti Policy Secure22.7R1.3 and prior22.7R1.4April 21
ZTA Gateways22.8R2 and prior22.8R2.2April 19
中国関連のサイバー・スパイ・グループ UNC5221 による攻撃

現時点において Ivanti は、CVE-2025-22457 に対する攻撃の詳細を公表していない。しかし、2025年4月4日に公開された Mandiant と Google Threat Intelligence Group (GTIG) のセキュリティ研究者たちのブログによると、新たに “UNC5221” として追跡される中国関連のスパイ・グループが、遅くとも 2025年3月中旬から、この脆弱性を悪用していたことは明らかである。

Mandiant は、「脆弱性 CVE-2025-22457 の悪用に成功した攻撃者が、新たに特定された2つのマルウェア・ファミリーを展開していたことが確認された。ひとつはメモリ内のみで動作するドロッパー “TRAILBLAZE” であり、もうひとつは受動的バックドアの “BRUSHFIRE” である。それに加えて、以前から報告されていた UNC5221 に関連するマルウェア群である、”SPAWN エコシステム” の展開も観測された。この脅威アクターは、おそらく ICS 22.7R2.6 に適用されたパッチを分析したのだろう。その後の、複雑なプロセスを経て、22.7R2.5 以下のバージョンを悪用することで、リモート・コード実行に到達した可能性が高いと、我々は評価している」と述べている。

UNC5221 が、2023年から標的にしてきたのは、 Ivanti や NetScaler の各種アプライアンスなどのネットワーク・エッジデバイスに存在するゼロデイ脆弱性である。最近では、同グループが、 Ivanti Connect Secure (ICS) の別の脆弱性 CVE-2025-0282 を悪用し、Dryhook と Phasejam という新しいマルウェアを、侵害した VPN アプライアンス上に展開していたことが確認されている。

さらに、2024年に同グループは、Connect Secure と Policy Secure の2つのゼロデイ脆弱性 CVE-2023-46805/CVE-2024-21887 を連鎖させ、標的とする ICS VPN および IPS NAC (Network Access Control) アプライアンス上で、任意のコマンドをリモートで実行していた。この攻撃の被害を受けた組織のひとつが、MITRE Corporation であり、2024年4月の時点で侵害が公表されていた。

また、2024年1月には、2つのゼロデイ脆弱性 CVE-2023-46805/CVE-2024-21887 を連鎖させる攻撃が発生した。この攻撃では、GIFTEDVISITOR ウェブシェルを介して、 2,100台以上の Ivanti アプライアンスにバックドアを仕掛けられたと、脅威インテリジェンス企業 Volexity が発表している。

CISA と FBI が、2025年1月に警告したように、攻撃者たちは、2024年9月以降にパッチ適用済の Ivanti Cloud Service Appliance (CSA) のセキュリティ脆弱性を悪用し、現在も脆弱なネットワークへの侵入を続けている。

Ivanti からの声明

2025年4月3日 14:16 (米東部時間) 更新:本記事の公開後、Ivanti の CSO である Daniel Spicer から、以下の声明が寄せられた:

ネットワーク・セキュリティ機器やエッジデバイスは、巧妙かつ執拗な攻撃を行う攻撃者たちの主要な標的となっている。Ivanti は、必要な情報を速やかに提供することで、防御側が自らの環境を安全に保てるよう尽力している。その一環として、従来からのアドバイザリの提供に加え、パートナー企業である Mandiant との連携により、新たに修正された脆弱性に関する、追加情報の提供にも取り組んでいる。

重要なことは、2025年2月11日にリリースされた ICS 22.7R2.6 により、この脆弱性が修正済みである点だ。 Ivanti のガイダンスに従って、サポート対象のバージョンを実行している顧客は、そのリスクを大幅に低減できる。また、Ivanti Integrity Checker Tool (ICT) は、一部の顧客環境において、不正侵入の可能性を検出するのに成功している。そこで使用されていたバージョンは、ICS 22.7R2.5 以下や、EOL となった ICS 9.X などである。

Ivanti ICS の脆弱性 CVE-2025-22457 が FIX しましたが、すでに中国由来の APT である UNC5221 による悪用が観測されているようです。文中で指摘されていますが、Ivanti が提供したパッチを解析し、そこから侵害の入口を見つけたようです。それにしても、このようなエッジデバイスを狙う攻撃が多いですね。よろしければ、Ivanti で検索も、ご参照ください。