お問い合わせ
ブログ

Ivanti VPN脆弱性 「CVE-2025-22457」の対応戦略:CTIベース攻撃対象領域の検知

最近、 Ivanti VPN脆弱性 「CVE-2025-22457」に対するパッチが公開されました。当脆弱性は、Ivanti Connect Secure、Pulse Connect Secure、Ivanti Poli 続きを読む Ivanti VPN脆弱性 「CVE-2025-22457」の対応戦略:CTIベース攻撃対象領域の検知

2025/04/18

最近、 Ivanti VPN脆弱性 「CVE-2025-22457」に対するパッチが公開されました。当脆弱性は、Ivanti Connect Secure、Pulse Connect Secure、Ivanti Policy Secure、およびZTA Gatewaysの一部のバージョンで悪用されかねないスタックベースのバッファオーバーフローの脆弱性です。なお、リモートコード実行につながる可能性があるため、CVSSスコア9.0と評価されました。さらに、MandiantとGTIG(Google Threat Intelligence Group)は、3月に中国のハッキンググループがこの脆弱性を実際に悪用したことを明らかにし、脆弱性の深刻性がさらに高まりました。今回の記事では、CVE-2025-22457に脆弱なバージョンと影響について説明し、CTIベースの対応戦略について紹介します。

Ivanti VPN脆弱性 「CVE-2025-22457」の概要

CVE-2025-22457は、Ivantiのセキュリティ製品であるConnect Secure、Policy Secure、ZTA Gatewaysに影響を与えるスタックベースのバッファオーバーフローの脆弱性です。攻撃者は、過剰に長いX-Forwarded-Forヘッダーを含む改ざんされたHTTPリクエストを送信することで、バッファオーバーフローを引き起こし、リモートコードを実行する可能性があります。4月3日に公開されたこの脆弱性は、すでに中国のハッキンググループ「UNC5221」のマルウェア配布に悪用されたことが知られています。

この脆弱性は、2月にIvanti Connect Secure 22.7R2.6バージョンで初めて発見され、発見当時は低リスク度のDoSバグとみなされ、すぐにパッチが発表されました。しかし、このパッチを分析した攻撃者がこの脆弱性を悪用してRCEに発展させ、Ivantiは正式にCVE-2025-22457を公開しました。CVE公表の直後、CISAは当該脆弱性をKEVに追加し、即時対応を勧告しました。現在、Connect Secureのパッチが公開され、Policy SecureとZTA Gatewaysに対するパッチはそれぞれ4月19日と20日に発表する予定です。これにより、脆弱なIvanti機器を使用している組織は、即時のパッチ適用とともに、継続的な攻撃対象領域の監視を行う必要があります。

脆弱なIvantiバージョン

  • Ivanti Connect Secure:22.7R2.5および以前のバージョン
  • Pulse Connect Secure(EoS):9.1R18.9および以前のバージョン
  • Ivanti Policy Secure:22.7R1.3および以前のバージョン 
  • ZTA Gateways:22.8R2および以前のバージョン

CVE-2025-22457のセキュリティ脅威

CVE-2025-22457が悪用された場合、以下のような複数のセキュリティ上の脅威を伴います。

  • 非認証リモートコード実行(RCE)
    • 攻撃者は認証せず、悪意のあるHTTPリクエストだけでサーバー内で任意のコードを実行することができる
    • Ivanti機器をマルウェア配布の中継地点として使用することができる
  • カスタムバックドアとルートキットの配布
    • 実際に中国のAPTグループ「UNC5221」がログ改ざん、データ漏洩、追加マルウェアの挿入などを目的としたバックドアを配布した履歴がある
  • 攻撃対象領域の拡大
    • 外部に公開されたIvanti機器を通じて、内部ラテラルムーブメント(Lateral Movement)、クレデンシャルの奪取、データ漏洩の被害が発生する可能性がある
  • ゼロトラストモデルへの脅威
    • ZTA Gatewaysのような最新のゼロトラストセキュリティ機器でさえ、この脆弱性の影響を受けている
    • セキュリティの最後の防衛線が突破される可能性があることを意味する
  • パッチが遅れる場合、継続的なリスクにさらされる
    • 攻撃者は、パッチの公開前からリバースエンジニアリングを通じてRCEを武器化したと分析される
    • パッチが遅れたり、検出されなかったシステムは、継続的な脅威にさらされる可能性がある

のように、Ivanti VPN脆弱性「CVE-2025-22457」が悪用されると、深刻なセキュリティ上の脅威が発生する可能性があるため、この脆弱性への対策として、迅速なパッチ適用と継続的な攻撃対象領域の監視が求められます。

CTIベースの攻撃対象領域監視:インターネットに公開されたIvanti Connect Secureの調査

インターネットに公開されたIvanti Connect Secureは、Criminal IPのIT資産検索で簡単に見つけることができます。

Criminal IPの検索クエリ:title: “Pulse Connect Secure”

Criminal IPのIT資産検索で「title: "Pulse Connect Secure"」を検索した結果
Criminal IPのIT資産検索で「title: “Pulse Connect Secure”」を検索した結果

2025年4月15日の時点で、インターネットに公開されているPulse Connect Secureは1,350個でした。Pulse Connect Secureは、CVE-2025-22457の影響を受ける製品であるだけでなく、現在Ivantiのサービス支援が終了されたサービスであり、何よりも早くIvanti Connect Secureの最新バージョンに移行する必要があります。サービス支援が終了したバージョンを引き続き使用する場合、新しい脆弱性に対するパッチが提供されないため、前述のセキュリティ脅威が発生する可能性が高くなります。

Criminal IP Search Query: title: “Ivanti Connect Secure”

Criminal IPのIT資産検索で「title: "Ivanti Connect Secure"」を検索した結果
Criminal IPのIT資産検索で「title: “Ivanti Connect Secure”」を検索した結果

2025年4月15日の時点で、インターネットに公開されたIvanti Connect Secureは19万個以上でした。基本的にVPNソリューションであるため、外部に公開されたIvanti製品が多いが、Ivanti機器に接続されたIPで複数の脆弱性が発見された場合を多数確認することができました。その中には、合計132個のCVEを保有しているIPも確認することができました。一つのIPで132件のCVEが発見されたということは、パッチがほとんど適用されていないことを意味し、攻撃者には攻撃の機会が多い環境と認識されるため、脆弱性の悪用可能性が非常に高い状態であると言えます。

脆弱性が132個発見されたIPアドレス、Ivanti Connect Secureが接続されている
脆弱性が132個発見されたIPアドレス、Ivanti Connect Secureが接続されている

FAQ(よくある質問)

Q1. Ivanti Connect Secureが脆弱な状態で公開される原因は何ですか?

基本的にIvanti Connect SecureはSSL VPNソリューションであるため、外部ユーザーの接続のためにインターネットに接続されています。しかし、導入後、管理ポートやAPIポートへのアクセス制限が欠落したり、DMZファイアウォールポリシーが誤って構成される場合、管理者ポータルまでインターネット上でアクセス可能な状態になります。また、Pulse Connect Secureのようにサービス支援が終了した機器を継続して使用する場合、セキュリティアップデートが提供されず、脆弱性の修正ができない状態で放置される可能性が高いです。このような技術的、運営上の原因により、Ivanti Connect Secureが脆弱な状態でインターネット上に公開される場合が発生します。

Q2. Ivanti脆弱性の悪用を防ぐ方法とは何がありますか?

Ivanti脆弱性の悪用を防止するためには、技術的な措置と運営的な管理を一緒に適用する必要があります。特に、Ivantiはリモートアクセスゲートウェイとして企業のセキュリティ境界に位置する機器であるため、一度侵入されると全社的なセキュリティインシデントにつながる可能性があります。何よりも最新のパッチ適用と持続的な攻撃対象領域管理が重要であり、脆弱性の悪用を予防するために以下のような具体的な方法を活用することができます。

  1. 最新セキュリティパッチの適用
  2. 攻撃対象領域の最小化(ASM)
  3. ICT(整合性点検ツール)の周期的実行
  4. 監視およびTIとの連携
  5. 認証およびアクセス制御の強化
  6. 資産識別よびセキュリティチェックの自動化

結論

Ivanti VPN脆弱性「CVE-2025-22457」は、企業ネットワーク全体のセキュリティを脅かす深刻なセキュリティ問題です。特に、リモートアクセスのために使用される機器の特性上、単一のパッチの欠落もAPTグループの標的になりやすいです。実際にインターネットに公開されたIvanti機器の中には、100個以上の脆弱性(CVE)が検出された事例も存在し、これを放置する場合、攻撃者は認証バイパス、マルウェア挿入、内部網への侵入など、全社的な被害に拡大させることができます。そのため、ユーザーは即時のパッチ適用、攻撃対象領域管理、ICT整合性検査およびCTIベースの脅威検出、露出資産の識別およびアクセス制御の強化を通じて積極的に対応する必要があり、特にサービス終了(EoS)のPulse Connect Secureを継続して使用する組織は、Ivanti Connect Secureの最新バージョンへの移行を急ぐ必要があります。

関連してNext.js Middlewareの認証バイパス脆弱性 :52万件以上のWeb資産が危険にさらされるをご参照ください。

データ提供:Criminal IP(https://www.criminalip.io/ja)、Ivanti(https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US)、NIST(https://nvd.nist.gov/vuln/detail/CVE-2025-22457)、Bleeping Computer(https://www.bleepingcomputer.com/news/security/ivanti-patches-connect-secure-zero-day-exploited-since-mid-march/)、CISA(https://www.cisa.gov/news-events/alerts/2025/04/04/ivanti-releases-security-updates-connect-secure-policy-secure-zta-gateways-vulnerability-cve-2025

ご参照:

https://www.criminalip.io/ja/knowledge-hub/blog/5528

Ivanti VPN脆弱性 「CVE-2025-22457」の対応戦略:CTIベース攻撃対象領域の検知 | Criminal IP(クリミナルアイピー) | Criminal IP