Ivantiの脆弱性を突く攻撃はどこまで広がるのか（前編）

Ivantiが提供するVPNソリューションがサイバー攻撃の対象になっている。脆弱性が悪用されており、ユーザーはすぐに対応しなければならない。

[Matt Kapko，Cybersecurity Dive]

　サイバー攻撃者が企業向けのSSL VPNソリューション「Ivanti Connect Secure」を含む複数のIvanti製品に存在するゼロデイ脆弱（ぜいじゃく）性を悪用している。

Ivantiの脆弱性を突く攻撃はどこまで広がるのか

　どのような脆弱性があり、何が起こっているのだろうか。

　Ivantiは2025年1月8日、認証を経由しないスタックベースのバッファーオーバーフローという重大な脆弱性について勧告を発表した。パッチをリリースしており、「CVE-2025-0282」が悪用されていることを認めた（注1、注2）。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、同日に「CVE-2025-0282」を脆弱性カタログKEV（Known Exploited Vulnerabilities）に追加した（注3）。つまり重大なリスクがあるものの、対策も準備されているということだ。

　Mandiantは2025年1月8日に発表した脅威インテリジェンスレポートで「『CVE-2025-0282』のゼロデイ脆弱性が2024年12月中旬から実際に悪用されていることを確認した。この脆弱性が悪用されると、認証を介さずにリモートコードの実行が可能となり、被害者のネットワークにさらなる侵害が発生する恐れがある」と記した（注4）。

　研究者は今回のゼロデイ脆弱性が広範囲に悪用されるのではないかと懸念している。この脆弱性は、1年前に脅威グループが同じIvanti製品における2つのゼロデイ脆弱性を悪用した後に発見されたものだ（注5）。

　以前発見されたゼロデイ脆弱性「CVE-2023-46805」と「CVE-2024-21887」は数カ月間にわたって積極的に悪用され（注6、注7、注8）、CISAを含む複数の組織に影響を及ぼした。CISAは、同機関の2つのシステムが攻撃の影響を受けたものの、データの窃取はなかったと発表した（注9）。

複数の攻撃グループが関与したのか

　MandiantはIvantiと協力して対応と復旧に当たる中で、ある発見をした。「CVE-2025-0282」の悪用後に使用された一部のマルウェアは、中国と関係のある脅威グループ「UNC5337」によるものだと特定した。Mandiantはこのグループが別の脅威グループ「UNC5221」の一部である可能性が高いとみている。このグループは2024年1月に、Ivanti Connect Secureのデバイスにおける以前の2つのゼロデイ脆弱性を積極的に悪用したと考えられている。

　Mandiantの研究者は、脅威インテリジェンスレポートに次のように記した。

　「これらの異なるコードファミリーの作成や展開には複数の攻撃者が関与した可能性があるが、本レポートの公開時点では、『CVE-2025-0282』を標的にしている攻撃者の正確な数を把握する十分なデータがない」

パッチ当てを偽装する工作も

　Mandiantが悪用後の活動を観測したところ、被害者の環境内での横展開やログエントリの削除、ネットワークトンネリング、認証情報の収集などの痕跡が見つかった。攻撃者はシステムにパッチを適用しようとしていた一部のネットワークセキュリティ担当者を欺く偽装工作にも取り組んでいた。

　Mandiant Consultingのチャールズ・カルマカル氏（最高情報責任者）は、2025年1月8日、次のように述べた（注10）。

　「この攻撃者は管理者にシステムのアップグレードが成功したと誤認させる新たな手法を実行した。攻撃者は正規のシステムアップグレードを妨害するマルウェアを展開し、同時にアップグレードがあたかも進行しているかのように表示する偽のプログレスバーを表示する仕組みを使った。実際にはアップグレードされていないにもかかわらず、アップデートがうまくいったかのように見せる偽装だ。一部の組織は脆弱性に対処したと考えているだろうが、実際には何も解決していないのだ」（カルマカル氏）

　CISAも2025年1月8日に警告を発し、組織に対し、Ivanti製品のインスタンス上で悪質な挙動を調査し（注11）、その結果を連邦機関に報告するよう求めた。

　Ivantiはセキュリティ勧告の中で次のように記した。

　「われわれは『CVE-2025-0282』によって悪用されたIvanti Connect Secureのアプライアンスが、開示時点で幾つかの顧客の環境に存在することを確認した。一方、これらの脆弱性がIvanti Policy Secureまたは『Ivanti Neurons for ZTA』のゲートウェイで悪用された事例を認識してはいない」

　2024年にIvantiの顧客は、「Ivanti Cloud Service Appliance」や「Ivanti Endpoint Manager」を含むさまざまな製品で（注12）（注13）、複数の脆弱性を積極的に悪用される事態に見舞われた。

出典：Ivanti customers confront new zero-day with suspected nation-state nexus（Cybersecurity Dive）
注1：CVE-2025-0282 Detail（NIST）
注2：Security Update: Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateways（Ivanti）
注3：CISA Adds One Vulnerability to the KEV Catalog（CISA）
注4：Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation（Google Cloud）
注5：Ivanti Connect Secure attacks part of deliberate espionage operation（Cybersecurity Dive）
注6：CVE-2023-46805（CVE）
注7：CVE-2024-21887（CVE）
注8：Ivanti exploit warnings go global as Five Eyes sound alarm（Cybersecurity Dive）
注9：CISA asserts no data stolen during Ivanti-linked attack on the agency（Cybersecurity Dive）
注10：Charles Carmakal（Linkedin）
注11：Ivanti Releases Security Updates for Connect Secure, Policy Secure, and ZTA Gateways（CISA）
注12：Trio of Ivanti CSA zero-day vulnerabilities under exploit threat（Cybersecurity Dive）
注13：Trio of Ivanti CSA zero-day vulnerabilities under exploit threat（Cybersecurity Dive）