Last Updated on 2025-01-14 10:52 by admin
Ivantiのリモートアクセス製品に新たな重大な脆弱性が発見され、中国の脅威アクターによって悪用されている。
脆弱性の概要
- 発見時期:2024年12月中旬
- 影響を受ける製品:
- Ivanti Connect Secure (ICS) 22.7R2.5以前
- Policy Secure 22.7R1.2以前
- Neurons for Zero Trust Access (ZTA) 22.7R2.3以前
- 脆弱性の内容:
- CVE-2025-0282(CVSS 9.0):認証不要でroot権限でのコード実行が可能
- CVE-2025-0283(CVSS 7.0):認証後の権限昇格が可能
被害状況
- 影響を受ける可能性のあるICSインスタンス数:2,000以上
- 主な被害国:米国、フランス、スペイン
- 攻撃者:中国系脅威アクターグループUNC5337(UNC5221の関連組織)
使用されたマルウェア
- SpawnAntインストーラー
- SpawnMole(通信制御)
- SpawnSnail(SSHバックドア)
- SpawnSloth(ログ改ざん)
- DryHook(認証情報窃取用Pythonスクリプト)
- PhaseJam(リモートコマンド実行用bashスクリプト)
対応状況
- ICS向けパッチ:2025年1月リリース済み
- Policy SecureとZTAゲートウェイ向けパッチ:2025年1月21日リリース予定
- CISAが緊急パッチ適用を勧告
from:Threat Actors Exploit a Critical Ivanti RCE Bug, Again
【編集部解説】
背景と影響範囲
VPN製品の脆弱性は、リモートワークが一般化した現代において極めて深刻な問題です。今回のIvantiの事例は、特に企業や政府機関のセキュリティに重大な影響を及ぼす可能性があります。
Ivantiの製品は、世界中の大手企業や政府機関で広く採用されているSSL VPNソリューションです。特にConnect Secureは、あらゆる規模の組織で最も広く採用されているSSL VPNとして知られています。
技術的な詳細と特徴
今回発見された脆弱性の特徴的な点は、認証を必要としないリモートコード実行が可能という点です。スタックベースのバッファオーバーフローを利用することで、攻撃者は特別に細工された入力を送信し、システムのメモリを制御下に置くことができます。
この攻撃手法の巧妙な点は、PhaseJamというマルウェアの動作にあります。このマルウェアは管理者によるアップデート作業を偽装し、13段階の進捗バーを表示することで、正規のアップデートが行われているように見せかけます。
対策と今後の展望
セキュア・バイ・デザインの原則を掲げていたIvantiですが、今回の事例は、その実現の難しさを示しています。Arctic Wolf のCISO、Adam Marrè氏が指摘するように、セキュアなエンジニアリングは通常のエンジニアリングよりもさらに困難です。
特に注目すべきは、Ivantiが独自の整合性チェックツール(ICT)を通じて、攻撃の発生を当日中に検知できた点です。これは、セキュリティ監視の重要性と効果を示す好例といえます。
今後の課題
このような事例が繰り返し発生する背景には、VPN製品の特性が関係しています。VPN製品はインターネットに直接露出し、かつ高い権限で動作する必要があるため、攻撃者にとって魅力的な標的となります。
今後は、ゼロトラストアーキテクチャの採用など、より包括的なセキュリティアプローチが求められるでしょう。しかし、それと同時に、既存のVPNインフラを使い続ける組織も多いため、迅速なパッチ適用と継続的な監視の重要性は変わりません。
日本企業への示唆
特に日本企業にとって重要なのは、セキュリティアップデートの優先順位付けです。運用への影響を懸念してパッチ適用を遅らせる傾向がありますが、Mandiantの調査によれば、迅速な対応を行った組織は、そうでない組織と比較して被害が少なかったことが報告されています。
【用語解説】
【参考リンク】
Ivanti公式サイト:(外部)
【参考YouTube】
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
