Ivanti、重大なセキュリティ欠陥に対応するパッチを緊急リリース

Last Updated on 2025-07-17 11:37 by 清水巧

Ivantiは、Connect SecureおよびPolicy Secure Gatewaysに影響を与える4つのセキュリティ欠陥に対するセキュリティアップデートをリリースしました。これらの欠陥は、コード実行やサービス拒否（DoS）攻撃を引き起こす可能性があります。欠陥のリストは以下の通りです。

– CVE-2024-21894 (CVSSスコア: 8.2)：Ivanti Connect Secure (9.x, 22.x)およびIvanti Policy SecureのIPSecコンポーネントにおけるヒープオーバーフロー脆弱性。認証されていない悪意のあるユーザーが特別に作成されたリクエストを送信し、サービスをクラッシュさせることでDoS攻撃を引き起こす可能性があります。特定の条件下では、任意のコードの実行につながる可能性があります。
– CVE-2024-22052 (CVSSスコア: 7.5)：Ivanti Connect Secure (9.x, 22.x)およびIvanti Policy SecureのIPSecコンポーネントにおけるヌルポインタ逆参照脆弱性。認証されていない悪意のあるユーザーが特別に作成されたリクエストを送信し、サービスをクラッシュさせることでDoS攻撃を引き起こす可能性があります。
– CVE-2024-22053 (CVSSスコア: 8.2)：Ivanti Connect Secure (9.x, 22.x)およびIvanti Policy SecureのIPSecコンポーネントにおけるヒープオーバーフロー脆弱性。認証されていない悪意のあるユーザーが特別に作成されたリクエストを送信し、サービスをクラッシュさせることでDoS攻撃を引き起こすか、特定の条件下でメモリの内容を読み取る可能性があります。
– CVE-2024-22023 (CVSSスコア: 5.3)：Ivanti Connect Secure (9.x, 22.x)およびIvanti Policy SecureのSAMLコンポーネントにおけるXMLエンティティ展開（XEE）脆弱性。認証されていない攻撃者が特別に作成されたXMLリクエストを送信し、一時的にリソース枯渇を引き起こすことで、限定的な時間のDoSを引き起こす可能性があります。

Ivantiは、年初から製品のセキュリティ欠陥に継続的に対処しており、これらの脆弱性によって顧客が悪用された事例は現時点で認識していないと述べています。また、IvantiのCEOであるJeff Abbottは、現在の脅威環境の要件を満たすために、同社の姿勢とプロセスを詳細に検討していると述べ、セキュリティ運用モデルの変更、セキュア・バイ・デザイン原則の採用、顧客との完全な透明性による情報共有、エンジニアリング、セキュリティ、脆弱性管理の実践の再設計を含む計画の実行を発表しました。さらに、内部スキャン、手動での悪用とテストの能力を強化し、信頼できる第三者との協力を通じて内部研究を補完し、バグ報奨金プログラムを強化することで脆弱性の責任ある開示を促進しています。

【参考サイト】
ivantiオフィシャルサイト（外部）

【編集者追記】ivantiとは

Ivantiは、IT資産管理、エンドポイントセキュリティ、統合エンドポイント管理などの包括的なITソリューションを提供するグローバルなソフトウェア企業です。2017年にLANDESKとHEAT Softwareが合併して誕生し、45,000社以上の顧客を持ちます。主力製品のIvanti Endpoint Managerは、インベントリ収集、ソフトウェア配布、OS展開、リモート管理などの機能を一元化し、Windows、Mac、Linux、iOS、Androidなど多様なデバイスを効率的に管理できます。また、パッチ管理、資産管理、ITサービス管理、モバイルデバイス管理など幅広いソリューションを提供し、セキュリティ強化とIT運用効率化を支援しています。AIを活用したIvanti Neuronsプラットフォームにより、デバイスの自動修復や脅威対策の高度化も進めています。

【ニュース解説】

Ivantiは、同社の製品であるConnect SecureおよびPolicy Secure Gatewaysに影響を与える4つの新たなセキュリティ脆弱性に対応するため、急いでパッチをリリースしました。これらの脆弱性は、未認証の攻撃者が特別に作成されたリクエストを送信することで、サービスをクラッシュさせるDoS攻撃や、場合によっては任意のコードを実行する可能性があるとされています。

このようなセキュリティ上の欠陥は、企業や組織にとって大きなリスクをもたらします。DoS攻撃によってサービスが停止すると、ビジネスの運営に重大な影響を及ぼす可能性があります。また、任意のコード実行が可能になると、攻撃者はシステムを完全に制御下に置くことができ、機密情報の漏洩やさらなる攻撃の拠点として利用される恐れがあります。

Ivantiがこれらの脆弱性に迅速に対応し、パッチをリリースしたことは、同社がセキュリティ問題に真剣に取り組んでいる証拠です。特に、CEOのJeff Abbottが公開した手紙では、セキュリティ運用モデルの変更、セキュア・バイ・デザイン原則の採用、情報共有の透明性向上、エンジニアリングやセキュリティの再設計など、セキュリティ対策の強化に向けた具体的な計画が示されました。

これらの取り組みは、企業が直面するセキュリティ上の脅威に対応するための重要なステップです。セキュリティは常に進化する脅威に対応する必要があり、企業は技術的な対策だけでなく、組織全体のセキュリティ意識の向上やプロセスの見直しも含めた総合的なアプローチを取る必要があります。

しかし、これらの対策にもかかわらず、新たな脆弱性が発見される可能性は常に存在します。そのため、企業は定期的なセキュリティ評価、脆弱性の迅速な特定と修正、従業員教育など、継続的なセキュリティ対策の実施が求められます。また、バグ報奨金プログラムのような外部からのフィードバックを活用することで、セキュリティの強化につながることも期待されます。

このようなセキュリティ対策の強化は、顧客の信頼を維持し、ビジネスの持続可能性を確保するためにも不可欠です。Ivantiの取り組みは、他の企業にとっても参考になる良い例であり、セキュリティは技術的な問題だけでなく、組織全体の取り組みであることを示しています。

from Ivanti Rushes Patches for 4 New Flaw in Connect Secure and Policy Secure.