Ivanti Connect Secure, Policy Secure, and ZTA Flaws Allow Attackers to Launch DoS Attacks
2025/08/12 gbhackers — Ivanti が発表したのは、Connect Secure/Policy Secure/ZTA Gateway に存在する複数の脆弱性に対処するための、重要なセキュリティ・アップデートのリリースである。これらの脆弱性を悪用するリモートの攻撃者は、サービス拒否 (DoS) 攻撃を実行できる。2025年8月12日に、Ivanti は4件の脆弱性情報を公開した。これらの CVSS スコアは Medium から High の深刻度であり、情報の公開時点において悪用の事例は確認されていない。
このセキュリティ・アドバイザリでは、Ivanti のエンタープライズ・セキュリティ・インフラ製品に影響を及ぼす、4件の脆弱性が明らかにされている。
1つ目の脆弱性 CVE-2025-5456 は、CVSS スコア 7.5 と評価されるバッファ・オーバーリードの欠陥であり、未認証のリモート攻撃者に対して、複数の製品ラインにおけるサービス拒否の状態を許す。
この脆弱性が影響を及ぼす範囲は、Ivanti Connect Secure 22.7R2.8/22.8R2 未満 および、Policy Secure 22.7R1.5 未満、ZTA Gateway 2.8R2.3-723 未満、Neurons for Secure Access 22.8R1.4 未満である。
2つ目の脆弱性 CVE-2025-5462 (CVSS 7.5) は、ヒープバッファ・オーバーフローの欠陥である。この脆弱性を悪用する未認証のリモート攻撃者は、上記の製品とバージョンにおいてサービス拒否を引き起こし、組織のネットワーク・セキュリティ基盤に重大なリスクをもたらす。
| CVE Number | Description | CVSS Score | CWE |
| CVE-2025-5456 | Buffer over-read vulnerability allowing remote DoS | 7.5 (High) | CWE-125 |
| CVE-2025-5462 | Heap-based buffer overflow enabling remote DoS | 7.5 (High) | CWE-122, CWE-476 |
| CVE-2025-5466 | XML External Entity (XXE) vulnerability | 4.9 (Medium) | CWE-776 |
| CVE-2025-5468 | Improper symbolic link handling | 5.5 (Medium) | CWE-61 |
このアドバイザリには、深刻度が Medium の2件の脆弱性も含まれる。
- CVE-2025-5466 (スコア 4.9):XML 外部エンティティ (XXE) の脆弱性であり、悪用には管理者権限が必要だが、サービス拒否攻撃を引き起こす可能性がある。
- CVE-2025-5468 (CVSS 5.5):シンボリック・リンクの不適切な処理の脆弱性であり、認証済みのローカル攻撃者に対して、ディスク上の任意ファイル読取と、機密システム情報の漏洩を許すとされる。
すでに Ivanti は、影響を受ける全製品に対してパッチをリリースしている。ユーザーに推奨されるのは、以下のバージョンへの、速やかなアップデートである。また、2025年8月2日時点で、クラウド環境の一部を修正している。
- Connect Secure:バージョン 22.7R2.8/22.8R2 にアップグレード。
- Policy Secure:バージョン 22.7R1.5 にアップグレード。
- ZTA Gateway:コントローラ・インターフェイスから入手可能な、バージョン 22.8R2.3-723 をインストール。
これらの脆弱性は、Ivanti 社内のセキュリティ評価および、責任ある情報開示プログラムを通じて発見されたものであり、現時点で同社は、悪用の事例は確認されていないと強調している。しかし、潜在的なサービス拒否攻撃の深刻度を考慮すると、速やかなパッチ適用は不可欠であり、それにより、組織のネットワーク・セキュリティ体制が維持される。
Ivanti における複数の製品で、バッファ・オーバーリードやヒープバッファ・オーバーフローといったメモリ関連の欠陥が生じています。それらを悪用する攻撃者は、異常なデータを送り込むことでサービス拒否を引き起こせるると、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、Ivanti で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.