Ivanti Workspace Control の脆弱性 CVE-2025-5353/22463/22455 が FIX:認証情報窃取の恐れ

Ivanti Workspace Control Vulnerability Lets Attackers Remotely Exploit To Steal the Credential

2025/06/10 gbhackers — Ivanti が公表したのは、Workspace Control ソフトウェアに対する、重要なセキュリティ更新プログラムをリリースである。この更新プログラムでは、攻撃者に対して認証情報への侵害を許す可能性のある、深刻度の高い3件の脆弱性が修正されている。それらの脆弱性 CVE-2025-5353/CVE-2025-22463/CVE-2025-22455 は、Ivanti Workspace Control のバージョン 10.19.10.0 未満に影響を及ぼすものだ。

脆弱性の概要
CVE NumberDescriptionCVSS Score (Severity)
CVE-2025-5353A hardcoded key in Ivanti Workspace Control before version 10.19.10.0 allows a local authenticated attacker to decrypt stored SQL credentials.  8.8 (High)
CVE-2025-22463A hardcoded key in Ivanti Workspace Control before version 10.19.10.0 allows a local authenticated attacker to decrypt the stored environment password. 7.3 (High)
CVE-2025-22455A hardcoded key in Ivanti Workspace Control before version 10.19.0.0 allows a local authenticated attacker to decrypt stored SQL credentials. 8.8 (High)

すでに Ivanti は、バージョン 10.19.10.0 をリリースし、このリスクを軽減している。ユーザーに対して強く推奨されるのは、 最新バージョンへの速やかなアップグレードもしくは、新しい Workspace Control 2025.2 アーキテクチャへの移行である。

これらの脆弱性は、ハードコードされた暗号化キーに起因しており、認証済みのローカル攻撃者に対して、SQL 認証情報と環境パスワードの復号を許すものとされる。

CVSS スコアは 7.3 〜 8.8 の範囲であり、悪用に成功した攻撃者は、重要システムへの不正アクセスなどの、深刻な被害を引き起こす可能性を手にする。これらの脆弱性は、ハードコードされた暗号化キーの使用 (CWE-321) に分類されており、低権限でユーザーによる、操作を必要としない悪用が可能だとされる。

これらの脆弱性が公表された時点では、既知の悪用事例はないと、Ivanti は報告している。同社は、「今回の発表以前に影響を受けたユーザーはいないと、当社は認識している」と述べている。

影響を受けるバージョンと修正

Ivanti Workspace Control のバージョン 10.19.0.0 未満に、この脆弱性は存在する。この問題が修正された、バージョン 10.19.10.0 のダウンロードが可能である。また、Ivanti は、これらの問題に対処するために、Workspace Control 2025.2 において、再設計されたアーキテクチャを導入している。

新しいアーキテクチャにアップグレードするユーザーは、ShieldAPI の TLS 証明書を信頼されるルート証明機関にインポートすることで、対象となる証明書が信頼されていることを確認する必要がある。

サポート終了と代替製品について Ivanti は、2026年12月31日に Workspace Control がサポート終了となることをユーザーに通知している。このスケジュールが実施されるが、新しいアーキテクチャの導入に躊躇しているユーザーは、代替製品として Ivanti User Workspace Manager へと移行できる。

ハードコードされた暗号化キーに起因する一連の脆弱性は、認証済みのローカル・ユーザーによる資格情報の復号という、大きなリスクを生み出すようです。ご利用のチームは、十分に ご注意ください。よろしければ、Ivanti で検索も、ご参照ください。