2025/04/07 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2025-22457 は、スタックバッファ・オーバーフローに起因し、リモート・コード実行 (RCE) を引き起こすという深刻なものである。
2025年4月の初旬に Ivanti は、この脆弱性 CVE-2025-22457 に対処する、セキュリティ・アップデートをリリースしている。この脆弱性は、遅くとも 2025年3月中旬から、中国関連の脅威アクターにより悪用されているという。
Ivanti 自身は攻撃の詳細を明らかにしていないが、Mandiant および Google Threat Intelligence Group (GTIG) のセキュリティ研究者たちは、中国系サイバースパイ・グループである、UNC5221 による探索活動だと分析している。
この脆弱性が影響を及ぼすのは、以下の製品である:
- Ivanti Connect Secure バージョン 22.7R2.5 以下
- Pulse Connect Secure 9.x ※2024年12月31日で EoS (End-of-Support)
- Ivanti Policy Secure
- Ivanti ZTAゲートウェイ
すでに Ivanti は、2025年2月11日に Connect Secure 22.7R2.6 をリリースし、この脆弱性を修正している。
Ivanti のアドバイザリには、「Ivanti Connect Secure (22.7R2.5以下) および Pulse Connect Secure 9.1x アプライアンス (EoS) が、この脆弱性の公開時点で悪用されていたと認識している。この脆弱性は、ピリオドおよび数字に対する不適切な処理が引き起こすバッファ・オーバーフローであり、発見された当初はリモート・コード実行は不可能であり、また、サービス拒否の要件を満たさないと判断されていた。しかし、我々とセキュリティ・パートナーは、この脆弱性を高度な手法で悪用すると、侵害にいたることを確認し、また、実環境での悪用の証拠も特定した。我々がユーザーに推奨するのは、この脆弱性を修正する Ivanti Connect Secure 22.7R2.6 へと向けた、速やかなアップグレードである」と記載されている。
Ivanti は、ZTA と Policy Secure ゲートウェイ用のセキュリティ・パッチを、4月19日と 4月21日にリリースする予定だ。 現時点では、これらのゲートウェイを狙う攻撃は確認されていない。しかし同社は、Web サーバのクラッシュを監視するIntegrity Checker Tool (ICT) を用いて、侵害されたデバイスをリセットし、バージョン 22.7R2.6 で再展開することを推奨している。
Google の Threat Intelligence Group (GTIG) によると、2025年3月から UNC5221 は脆弱性 CVE-2025-22457 を悪用し、TRAILBLAZE/BRUSHFIRE/SPAWN マルウェアを展開していたようだ。
脆弱性 CVE-2025-22457 の悪用が最初に観測されたのは、2025年3月中旬のことだった。この脆弱性の悪用に成功した攻撃者が、2つの新たなマルウェア・ファミリー (インメモリ専用ドロッパーの TRAILBLAZE/パッシブ・バックドア BRUSHFIRE) を展開したことが観測されている。さらに、以前から UNC5221 による活動として報告されていた、SPAWN マルウェア・エコシステムの展開も観測された。この UNC5221 は、中国に関連があるとされるスパイ・グループであり、2023年から、エッジデバイスのゼロデイ脆弱性を悪用してきたことが確認されている。
Google のレポートには、「脆弱性 CVE-2025-22457 の悪用に成功した攻撃者は、新たに特定された2つのマルウェア・ファミリー TRAILBLAZE/BRUSHFIRE を展開していた。さらに、過去に報告されていた、 UNC5221 に起因する SPAWN マルウェア・エコシステムの展開も観測された」と記載されている。
拘束力のある運用指令 (BOD) 22-01:米国政府の FCEB 機関は、カタログに記載された欠陥の悪用からネットワークを保護するために、定められた期限において、特定された脆弱性に対処する必要がある。CISA は連邦政府機関に対して、2025年4 月11日までに、この脆弱性を修正するよう命じている。
さらに、専門家たちは、民間組織においても、このカタログを確認し、インフラの脆弱性に対処することを推奨している。
Ivanti の脆弱性は、メディアを賑わす最右翼であり、CVE を見ても、新規と既存の判別が難しいです。そこで、お隣のキュレーション・チームに聞いてみたところ、この CVE-2025-22457 を補足したのは 4月5日とのことでした。したがって、民間の組織への攻撃というより、米国の連邦政府機関への攻撃で、悪用が始まったのだと推測できます。このような展開では、Google の Mandiant や Threat Intelligence Group (GTIG) の名前が出ることが多いように感じます。よろしければ、China + APT で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.