Connect Secure – IoT OT Security News

Ivanti Connect Secure／Policy Secure／ZTA Gateways の複数の脆弱性が FIX：ただちにパッチを！

Multiple Vulnerabilities Discovered in Ivanti Connect Secure, Policy Secure, and ZTA Gateways

2025/09/09 gbhackers — 9月9日 (火) に Ivanti が公開したのは、Ivanti Connect Secure／Policy Secure／ZTA Gateways／Neurons for Secure Access に影響を及ぼす、深刻度 High の脆弱性５件と、Medium の６件を詳述するセキュリティ・アドバイザリである。これらの脆弱性は、認証チェックの不備やサービス拒否攻撃から、クロス・サイト・リクエスト・フォージェリ (CSRF) やサーバ・サイド・リクエスト・フォージェリ (SSRF) に至るという。現時点において、ユーザー・サイドにおける悪用の事例は確認されていない。また、多様な問題に対処するためのパッチと修正プログラムが、直ちに提供されている。

Ivanti Connect Secure の脆弱性 CVE-2025-0282／22457 を悪用：Cobalt Strike を展開するキャンペーンとは？

Threat Actors Exploiting Ivanti Connect Secure Vulnerabilities to Deploy Cobalt Strike Beacon

2025/07/18 CyberSecurityNews — Ivanti Connect Secure VPN デバイスを標的とする高度なマルウェア攻撃キャンペーンは、2024年12月以降において深刻な脆弱性 CVE-2025-0282／CVE-2025-22457 を積極的に悪用している。この進行中の攻撃で展開されるマルウェア・ファミリーは、MDifyLoader／Cobalt Strike Beacon／vshell／Fscan などであり、侵害されたネットワークへの長期的なアクセスを確立する APT の手法が確認されている。

Ivanti ICS／IPS の脆弱性 CVE-2025-5450／5451 などが FIX：DoS 攻撃や不適切なアクセス制御の恐れ

Ivanti Products Connect Secure and Policy Secure Hit by Denial-of-Service Vulnerabilities

2025/07/08 gbhackers — Ivanti が公表したのは、Connect Secure／Policy Secure に存在する、６件の脆弱性 (Medium) に対処する、重要なセキュリティ・アップデートをリリースである。これらの脆弱性を悪用する攻撃者は、サービス拒否攻撃や不正アクセスを引き起こせるという。2025年7月8日に、これらの脆弱性を Ivanti が公表した時点では、顧客環境における悪用事例は確認されていないが、速やかなパッチ適用により、潜在的なセキュリティ侵害を防ぐことが推奨されている。

Ivanti の脆弱性 CVE-2025-22457：APT による攻撃の解析と PoC の提供

Ivanti 0-Day RCE Flaw Exploitation Details Revealed

2024/04/11 gbhackers — Ivanti が公表した、認証不要の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-22457 により、サイバー・セキュリティ業界全体に懸念が広がっている。この脆弱性は複数の Ivanti 製品に影響を及ぼすものであり、攻撃者に対してリモート・コード実行を許すため、企業の機密環境が危険にさらされる可能性がある。その一方で、Rapid7 の脆弱性対策チームなどの研究者たちが、この脆弱性の悪用の方法と、その修正に必要な手順について、詳細な分析結果を公開している。

CISA KEV 警告 25/04/04：Ivanti CS／Policy Secure／ZTA の脆弱性 CVE-2025-22457 を登録

U.S. CISA adds Ivanti Connect Secure, Policy Secure and ZTA Gateways flaw to its Known Exploited Vulnerabilities catalog

2025/04/07 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure／Policy Secure／ZTA の脆弱性 CVE-2025-22457 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2025-22457 は、スタックバッファ・オーバーフローに起因し、リモート・コード実行 (RCE) を引き起こすという深刻なものである。

Ivanti Connect Secure の CVE-2025-0282 を狙う CL-UNK-0979：攻撃のフェーズとツールが明らかに

CL-UNK-0979 Exploit Zero-Day Flaw in Ivanti Connect Secure to Gain Access to Networks

2025/01/18 SecurityOnline — Ivanti 製品群における２件の深刻な脆弱性 CVE-2025-0282／CVE-2025-0283 に関する、詳細な脅威ブリーフィングを Palo Alto Networks が発表した。これらの脆弱性は、リモート・ネットワーク接続のための広く使用されている。Ivanti の Connect Secure／Policy Secure／ZTA Gateway アプライアンスに影響を及ぼすものだ。

Ivanti Connect Secure の脆弱性 CVE-2025-0282：PoC の提供と積極的な悪用

PoC Exploit Released for Ivanti Connect Secure Flaw CVE-2025-0282 Used in Attacks

2025/01/16 SecurityOnline — Ivanti Connect Secure の深刻なゼロデイ脆弱性 CVE-2025-0282 (CVSS：9.0) に対する、脆弱性の詳細な分析と PoC エクスプロイトが、watchTowr Labs により公開された。この脆弱性を悪用する攻撃者は、脆弱なデバイスへのマルウェアのインストールを積極的に展開している。

CISA KEV 警告 25/01/08：Ivanti Connect Secure の脆弱性 CVE-2025-0282 を登録

U.S. CISA adds Ivanti Connect Secure, Policy Secure, and ZTA Gateways flaw to its Known Exploited Vulnerabilities catalog

2025/01/09 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure の脆弱性を CVE-2025-0282 (CVSS：9.0) を、Known Exploited Vulnerabilities (KEV) カタログに登録した。

Ivanti 製品群の脆弱性 CVE-2025-0282／0283 が FIX：Connect Secure の悪用を観測

CVE-2025-0282 (CVSS 9.0): Ivanti Confirms Active Exploitation of Critical Flaw

2025/01/08 SecurityOnline — Ivanti が公開したセキュリティ勧告は、Connect Secure／Policy Secure／Neurons for ZTA Gateways に影響をおよぼす、２つの脆弱性に関するものだ。これらの脆弱性 CVE-2025-0282／CVE-2025-0283 により、影響を受けるシステムに深刻なリスクが生じる恐れがある。

Ivanti の Connect Secure／Policy Secure の深刻な脆弱性が FIX：ただちにアップデートを！

Ivanti Connect Secure and Policy Secure Updates Address Critical Vulnerabilities

2024/12/10 SecurityOnline — Ivanti が発行したのは、Connect Secure／Policy Secure ソリューションに影響を及ぼす、いくつかの深刻な脆弱性に対するパッチである。これらの脆弱性が悪用されると、リモート・コード実行 (RCE)／サービス拒否 (DoS)／セキュリティバイパスが引き起こされる可能性があるため、エンドポイント／エンタープライズの安全な管理のために、速やかな更新が不可欠となる。

Ivanti の Connect Secure／Policy Secure／Secure Access Client に複数の脆弱性：ただちにパッチを！

Ivanti Connect Secure, Policy Secure and Secure Access Client Affected by Critical Vulnerabilities

2024/11/12 SecurityOnline — Ivanti がリリースしたのは、Connect Secure／Policy Secure／Secure Access Client 製品に存在する、深刻なリモート・コード実行 (RCE) などの、各種の脆弱性に対処するための、緊急のセキュリティ更新である。これらの脆弱性は、組織に対して重大なリスクをもたらすものであり、攻撃者に悪用されると、不正アクセス／権限昇格し、悪意のコードなどにいたる可能性があるという。

Ivanti Connect Secure の脆弱性 CVE-2024-37404 が FIX：すでに PoC もリリース

CVE-2024-37404: Critical RCE Flaw Discovered in Ivanti Connect Secure & Policy Secure, PoC Published

2024/10/08 SecurityOnline — Ivanti の Connect Secure／Policy Secure に影響を及ぼす、深刻なリモート・コード実行 (RCE) の脆弱性が対処されたと、AmberWolf のセキュリティ研究者である Richard Warren が報告している。この脆弱性 CVE-2024-37404 (CVSS：9.1) の悪用に成功した認証済の攻撃者は、脆弱なシステム上での任意のコード実行の可能性を手にする。

Ivanti 製品の脆弱性：中国系のハッカーが新たな TTP を開発している

Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities

2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる５つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure／Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805／CVE-2024-21887／CVE-2024-21893 の悪用が既に発見／報告されているが、この活度は、その後に続くものである。

Ivanti の新たな脆弱性 CVE-2024-21894：日本の存在する危険なインスタンスは 2,000 ？

New Ivanti RCE flaw may impact 16,000 exposed VPN gateways

2024/04/05 BleepingComputer — インターネット上に公開されている Ivanti の Connect Secure／Poly Secure ゲートウェイ約 16,500 台に、リモートコード実行 (RCE) の脆弱性が存在する可能性がある。今週初めにベンダーが対処した、この脆弱性 CVE-2024-21894 は、Ivanti Connect Secure 9.x／22.x の IPSec コンポーネントに存在する、深刻度の高いヒープオーバーフローに起因するものだ。認証されていないユーザーが、特別に細工したリクエストを送信することにより、サービス拒否 (DoS) やリモートコード実行にいたる可能性がある。

Ivanti Connect Secure VPN の脆弱性：中国由来ハッカーによるマルウェア展開で悪用

State-sponsored hackers know enterprise VPN appliances inside out

2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード／パッチ適用／工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。

Ivanti の SSRF 脆弱性 CVE-2024-21893：新たな DSLog バックドアの展開に悪用される

Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoor

2024/02/12 BleepingComputer — Ivanti Connect Secure／Policy Secure／ZTA Gateway の SSRF (Server-Side Request Forgery) 脆弱性の悪用に成功した攻撃者が、脆弱なデバイス上に新しい DSLog バックドアを展開していることが分かった。この脆弱性 CVE-2024-21893 は、2024年1月31日にアクティブに悪用されるゼロデイとして公開されたものであり、Ivanti からはセキュリティ・アップデートと緩和策が共有されている。

Ivanti ICS に新たな脆弱性 CVE-2024-22024：パッチ適用までの緩和策とは？

Ivanti: Patch new Connect Secure auth bypass bug immediately

2024/02/08 BleepingComputer — 2月8日に Ivanti は、Connect Secure／Policy Secure／ZTA Gateway に影響を及ぼす、新たな認証バイパスの脆弱性について警告し、管理者たちにアプライアンスを直ちに保護するよう促した。この脆弱性 CVE-2024-22024 は、ゲートウェイの SAML コンポーネントの XXE (XML eXternal Entities) に起因するものである。その悪用に成功したリモート攻撃者は、ユーザーの操作や認証を必要としない低複雑度の攻撃で、パッチ未適用のアプライアンス上の制限されたリソースにアクセスできるという。

Ivanti の新たな脆弱性 CVE-2024-21888／CVE-2024-21893：攻撃が急増している

Experts Warn Of A Surge Of Attacks Targeting Ivanti SSRF Flaw

2024/02/05 SecurityAffairs — Ivanti の SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-21893 が、最近のサイバー攻撃で、さまざまな脅威アクターにより活発に悪用されている。1月31日に Ivanti が発した警告は、同社の Connect Secure／Policy Secure ソリューションに、それぞれ２つの新たな深刻な脆弱性 CVE-2024-21888 (CVSS：8.8)／CVE-2024-21893 (CVSS：8.2) が存在するというものだ。同社によると、CVE-2024-21893 は、野放し状態で活発に悪用されているという。

CISA が異例の通達：Ivanti の疑わしいインスタンスを 48時間以内に隔離せよ

CISA Sets 48-hour Deadline for Removal of Insecure Ivanti Products

2024/02/01 SecurityWeek — 米国政府のサイバーセキュリティ機関 CISA は連邦政府機関に対して、Ivanti Connect Secure／Policy Secure の全製品のインスタンスを、48時間以内に切断せよという、前例のない要求を通達している。CISA は、「可能な限り早急に、また、遅くとも 2024年2月2日 (金) の午後11時59分までに、Ivanti Connect Secure／Policy Secure ソリューションの全インスタンスを、政府機関のネットワークから切断せよ」と、新たな緊急指令において圧力を強めている。防御側にとって必要とされるのは、実環境で積極的に悪用されている、少なくとも３件の Ivanti セキュリティ欠陥を軽減することである。

Ivanti の新たな脆弱性 CVE-2024-21888／CVE-2024-21893：すでに悪用を観測

Ivanti Warns Of A New Actively Exploited Zero-Day

2024/01/31 SecurityAffairs — Ivanti の警告は、Connect Secure／Policy Secure で新たに発見された、２つの脆弱性 CVE-2024-21888 (CVSS：8.8)／CVE-2024-21893 (CVSS：8.2) に関するものである。同社によると、CVE-2024-21893 は、野放し状態で活発に悪用されているという。１つ目の脆弱性 CVE-2024-21888 は、Ivanti Connect Secure (9.x/22.x) ／Policy Secure (9.x/22.x) の Web コンポーネントに存在する権限昇格の欠陥であり、悪用に成功した攻撃者は、管理者権限を得る可能性があるという。

Ivanti VPN アプライアンスで発見：WIREFIRE Web シェル亜種のステルス性とは

Cybersecurity Alert: Unseen WIREFIRE Web Shell Variant in ICS VPN Appliances

2024/01/28 SecurityOnline — 先日に QuoIntelligence が発見したのは、Python ベースのインプラントである WIREFIRE という Web シェルの新たな亜種だ。この亜種が発見されたのは、２つのゼロデイ脆弱性 CVE-2024-21887／CVE-2023-46805 を悪用して侵害された、Ivanti Connect Secure (ICS) VPN アプライアンスである。この亜種の登場が浮き彫りにするのは、サイバー・スパイ戦術の大幅な進化であり、また、インターネットに面した VPN デバイスのセキュリティに関する懸念である。

Ivanti Connect Secure の２つの脆弱性：複数の脅威アクターにより攻撃がエスカレート

Ivanti Connect Secure zero-days now under mass exploitation

2024/01/15 BleepingComputer — Ivanti の Connect Secure VPN および Policy Secure Network Access Control (NAC) アプライアンスに影響を及ぼす、２つのゼロデイ脆弱性が大規模なレベルで悪用されている。脅威インテリジェンス企業 Volexity が発見した、このゼロデイ脆弱性は 2023年12月以降の攻撃で悪用されてきた。そして、2024年1月11日からは複数の脅威グループが、CVE-2023-46805 (認証バイパス) および CVE-2024-21887 (コマンド・インジェクション) 脆弱性を連鎖させ、広範な攻撃を行っている。

Ivanti Connect Secure のゼロデイ脆弱性：カスタム・マルウェアのデプロイを観測

Ivanti Connect Secure zero-days exploited to deploy custom malware

2024/01/12 BleepingComputer — 今週に公開された Ivanti Connect Secure の２つのゼロデイ脆弱性だが、スパイ行為を目的とした複数のカスタム・マルウェア・ファミリーの展開において、2023年12月初旬から悪用されていたことが判明した。これらの脆弱性 CVE-2023-46805／CVE-2024-21887 の悪用に成功した攻撃者は、認証をバイパスして、脆弱なシステム上で任意のコマンド注入を可能にしていた。ただし Ivanti は、少数の顧客が標的にされていたに過ぎないと述べている。

CISA KEV 警告 24/01/10：Ivanti とSharepoint の脆弱性を悪用リストに追加

CISA Adds Ivanti And Microsoft Sharepoint Bugs To Its Known Exploited Vulnerabilities Catalog

2024/01/11 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure および Policy Secure の脆弱性 CVE-2024-21887／CVE-2023-46805 と、Microsoft SharePoint Server の脆弱性 CVE-2023-29357 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Ivanti が警告：脆弱性 CVE-2023-46805／CVE-2024-21887 の連鎖が生み出す最悪の事態

Ivanti warns of Connect Secure zero-days exploited in attacks

2024/01/10 BleepingComputer — Ivanti の Connect Secure (ICS) および Policy Secure に存在する２つのゼロデイ脆弱性が公表されたが、それらを組み合わせるリモートの攻撃者により、標的のゲートウェイ上で任意のコマンド実行が可能になることが判明している。１つ目の脆弱性 CVE-2023-46805 は、ゲートウェイの Web コンポーネントにおける認証バイパスであり、制御チェックを回避する攻撃者に対して、制限されたリソースへのアクセスを許すものである。そして、２つ目の脆弱性 CVE-2024-21887 は、コマンド・インジェクションを許すものである。したがって、認証された管理者が、特別に作成されたリクエストを送信することで、脆弱なアプライアンス上での任意のコマンド実行が可能になるという。