IXON VPN Client Vulnerability Allows Privilege Escalation for Attackers
2025/05/08 gbhackers — 広く利用されている IXON の VPN クライアントに存在するセキュリティ脆弱性により、Windows/Linux/macOS システムに対する、ローカル権限昇格攻撃の恐れが生じている。この脆弱性により、権限のないユーザーであっても、ルート権限またはシステム・レベルのアクセス権を取得する機会を得られる。
これらの脆弱性 CVE-2025-26168/CVE-2025-26169 が影響を及ぼす範囲は、バージョン 1.4.3 以前のソフトウェアであり、リモート・アクセス・ソリューションとして IXON を利用する産業/企業/MSP のネットワークに深刻なリスクをもたらす。
この問題を発見/公開したのは、Shelltrail の研究者 Andreas Vikerup と Dan Rosenqvist である。
この脆弱性を悪用する攻撃者は、テンポラリ・コンフィグ・ファイルの、安全が確保されない処理を悪用し、昇格された権限で任意のコード実行を達成する。すでに IXON は、修正版である 1.4.4 をリリースし、この問題に対処している。ユーザーに対して強く推奨されるのは、このアップデートを速やかに適用し、悪用リスクを軽減することだ。
この脆弱性は、IXON VPN クライアントの接続ワークフロー内での、OpenVPN コンフィグ・ファイルの不適切な処理に起因する。VPN 接続を開始するクライアントは、すべてのユーザーがアクセスできる書き込み可能なディレクトリに、コンフィグ・データを一時的に保存する。
その際に、競合状態攻撃を展開する攻撃者は、この脆弱性を悪用できる。具体的に言うと、それらのデータをクライアントが処理する前に、任意のコマンドを取り込んだ悪意のバージョンで、正規のコンフィグ・ファイルが置き換えられてしまう。
VPN クライアントが、昇格された権限でコンフィグ・ファイルを実行するため、このエクスプロイト・チェーンは標準的な権限制御を回避していく。Windows システムでは、SYSTEM 権限が付与され、Linux /macOS 環境では root レベルのアクセスが許可される。
この攻撃の前提条件は、ローカル・システムへのアクセスだけであり、ユーザーの操作は必要としないため、製造施設や MSP ネットワークなどの、共有環境やマルチ・ユーザー環境では特に危険である。
この脆弱性の技術的なコアは、以下の2つの主要な欠陥にある:
- 安全が確保されないテンポラリ・ストレージ:VPN クライアントは、適切なアクセス制御を必要とすることなく、機密性の高いコンフィグ・データを書き込める。その対象は、Unix 系システムでは “/tmp/vpn_config.ovpn” であり、Windows では “C:\ProgramData\IXON\vpn_config.ovpn” である。
- 暗号検証の欠如:コンフィグ・ファイルにデジタル署名がないため、改竄されても検知されない。
脆弱性 CVE-2025-26168/CVE-2025-26169 の CVSS v3.1 スコアは 8.1 (High) であり、VPN 接続ネットワークを介したラテラル・ムーブメント (横方向の移動) の可能性も生じるため、その影響は単体のデバイスに留まらない。
パッチの展開と緩和策
すでに IXON は、バージョン 1.4.4 のリリースにより、アーキテクチャを根本から変更し、これらの脆弱性に対処している。このアップデートによる修正は、コンフィグ・ファイルをユーザー固有の安全なディレクトリに再配置し、署名検証を実装することで不正な変更を防止する点にある。
Linux システムの場合、このパッチは LD_LIBRARY_PATH の強化を強制し、コンフィグの脆弱性を悪用を試みるライブラリ・ハイジャックをブロックする。
ユーザー組織は、体系的なアップデート・プロセスに従う必要がある:
- Windows/macOS:IXON のポータルからインストーラーをダウンロードし、管理者権限で実行する。
- Linux:tarball を解凍し (tar -xzf vpn_client_x64.tar.gz)、解凍したディレクトリから sudo ./install を実行する。
インストール後の検証においては、IXON の Fleet Manager ポータルで、クライアントのバージョンを確認する必要がある。
さらに、管理者にとって必要なことは、以前に脆弱だったディレクトリに、悪意のコンフィグ・ファイルが残っていなことの監視である。
なお、更新されたクライアントの、セキュリティ強化を完全に適用するためには、ブラウザの再起動が必須となる。
パッチを適用しても、既存の脆弱なインストールは、自動的に削除されないことに注意してほしい。したがって、ユーザー組織は、攻撃ベクターを排除するために、古いバージョンを積極的にアンインストールする必要がある。その後に、1.4.4 以降を導入すれば万全である。
組織の対応プロトコル
この脆弱性を悪用されると、その影響は深刻となる。VPN クライアントを侵害した攻撃者は、永続的なバックドアの構築や、暗号化されたトラフィックの傍受などを達成し、さらには、製造環境の産業用制御システムに侵入する可能性も手にする。
IXON のアドバイザリが強調するのは、パッチ未適用のシステムを使い続けると、特に重要なインフラ部門においては、運用上の脅威に直面することになる。
セキュリティ・チームは、以下の緊急対策を実施する必要がある:
- パッチ適用の優先順位付け:IXON VPN Client ≤1.4.3 を使用している、すべてのエンドポイントを、直ちにアップデートする必要がある。
- 最小権限の適用:VPN クライアントを実行するシステムへの、ローカル・ユーザーによるアクセスを制限する。
- コンフィグ・ディレクトリの監視:”/tmp”、”C:\ProgramData\IXON” および、ユーザー固有のコンフィグ・パスに、ファイル整合性監視を導入する。
- VPN ログの監査:異常な接続試行や、予期しないコンフィグの再読み込みイベントを検索する。
すぐにパッチを適用できない組織の、一時的な緩和策として挙げられるのは、VPN クライアント・サービスを無効化し、コンフィグ・ディレクトリへの書き込み権限を制限することだ。ただし、IXON は、これらは一時的な対策であり、恒久的な解決策ではないことを強調している。
今回の発見が浮き彫りにするのは、VPN テクノロジーにおける、安全な権限管理の広範な課題である。リモート・アクセス・ツールが OT 環境に組み込まれるケースが増えるにつれ、ベンダーにとって必要になるものは、厳格なファイル処理保護の実装と、コンフィグの整合性を確保するためのゼロトラスト原則の採用である。
IXON VPN クライアントの脆弱性 CVE-2025-26168/26169 が FIX とのことです。ご利用のチームは、アップデートをご検討下さい。よろしければ、以下の関連記事も、VPN で検索と併せて、ご参照ください。
2025/04/30:SonicWall SMA100 VPN の脆弱性:積極的な悪用
2025/04/22:コンテナと証明書と秘密鍵:SSH や VPN を守るには
2025/02/24:VPN の正しい使い方:安全なリモートワークのために
2025/02/08:大規模ブルートフォース攻撃:IP 悪用と VPN の攻撃
2025/02/01:一般的なユーザー向け Top VPN の選び方
IoT OT Security News 
You must be logged in to post a comment.