Ivanti Neurons for ITSM Hit by CVSS 9.8 Authentication Bypass Flaw Enabling Full Admin Access
2025/05/14 SecurityOnline — Ivanti が公表したのは、オンプレミスの Neurons for ITSM プラットフォーム向けの、緊急セキュリティ・パッチのリリースである。新たに発見された深刻な脆弱性 CVE-2025-22462 (CVSS:9.8) は、未認証の攻撃者に管理者権限の取得を許す可能性のあるものだ。この脆弱性が悪用されると、推奨されるネットワーク制限や、セキュア・コンフィグを実施していないユーザーに深刻なリスクが生じる。
Ivanti はアドバイザリで、「この脆弱性を悪用する未認証のリモート攻撃者は、システム・コンフィグ構成によっては、システムへの管理者権限を取得するかもしれない」と警告している。
この脆弱性は、オンプレミスの Ivanti Neurons for ITSM デプロイメントに影響を及ぼす、認証バイパスの欠陥に起因する。この問題は、バージョン2023.4/2024.2/2024.3 の、2025年5月のセキュリティパッチ適用前の全インスタンスに影響する。
Ivanti のアドバイザリには、「認証バイパスを悪用する未認証のリモート攻撃者は、システムへの管理者アクセス権を取得できるようになる」と記されている。
この情報が公開された時点では悪用事例は確認されていないが、そのリスク・レベルはシステム・コンフィグに大きく依存するという。以下の条件を満たすユーザーは、Environmental Score 6.9 (Medium) に該当すると、Ivanti は指摘している。
- IIS へのアクセスを社内ネットワークおよび特定の IP に制限
- ソリューションを DMZ 内に配置
- ユーザー・ログインを高権限の社内ユーザーのみに制限
なお、Ivanti は、「IIS Web サイトのセキュリティ保護とアクセス制限について、Ivanti のガイダンスに従っているユーザーは、Environmental リスクが軽減される」と説明している。
影響を受けるバージョンは以下のとおりである。
Ivanti Neurons for ITSM (オンプレミス):バージョン 2023.4/2024.2/2024.3 (2025年5月のセキュリティ・パッチ適用前)
提供されているパッチ適用バージョン:
- 2023.4 May 2025 Security Patch
- 2024.2 May 2025 Security Patch
- 2024.3 May 2025 Security Patch
パッチのダウンロードとドキュメントは、Ivanti の License System を介して入手できる。
速やかなパッチ適用が不可能な場合のために、Ivanti は以下の対策を推奨している:
- ACL を用いて IIS アクセスを制限し、信頼できる IP アドレスのみを許可する。
- 外部ログイン・アクセスが DMZ 経由でルーティングされるようにする。
- Ivanti の導入および IIS 強化ドキュメントに記載されている、安全な導入ガイダンスに従う。
Ivanti Neurons for ITSM に、CVSS 値 9.8 の深刻な脆弱性が発生しています。未認証の攻撃者に管理者権限の取得を許す可能性がある、厄介なものです。ご利用のチームは、パッチ適用および緩和策の導入をお急ぎください。よろしければ、Ivanti で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.