Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
MandiantはIvanti VPN の脆弱性(CVE-2025-0282とCVE-2025-0283)がゼロデイ攻撃の標的になっいると発表しました。このサイバー攻撃には「Dryhook」および「Phasejam」と呼ばれる新しいマルウェアが利用されていましたが、これは現在どの脅威グループとも関連付けられていません。
ゼロデイ攻撃の概要
Ivanti は、2025 年 1 月 8 日に 2 つの脆弱性 CVE-2025-0282 と CVE-2025-0283 を公開しました。
既に対策パッチを提供しており、Integrity Checker Tool(ICT)の使用が推奨されています。
調査を行っていたMandiant はこれらの脆弱性がゼロデイ攻撃の標的になっている可能性をレポート化して発表しています。
CVE-2025-0282は認証不要のバッファオーバーフローで、リモートコード実行が可能です。
攻撃者は脆弱性を悪用し、ウェブシェルやバックドアを展開、データ盗難やアップグレード妨害を行いました。
また、PHASEJAMやDRYHOOKなど新たなマルウェアが発見されました。
なお、MandiantはCVE-2025-0282 の悪用は UNC5221 の一部と疑われる中国系スパイ集団 UNC5337 によるものと中程度の確信を持っているとしています。
脆弱性 CVE-2025-0282の概要
CVE-2025-0282 は、特定の条件下で悪用される可能性のある脆弱性であり、攻撃者が未認証のまま特権操作を実行できる可能性があります。この脆弱性は、特にリモートからの攻撃に利用される可能性があるため、即座の対応が求められます。
影響を受けるバージョン
パッチがリリースされているのでバージョンアップする事をお勧めします。
- Ivanti Connect Secure
- バージョン 22.7R2 から 22.7R2.4 まで
- Ivanti Policy Secure
- バージョン 22.7R1 から 22.7R1.2 まで
- Ivanti Neurons for ZTA Gateways
- バージョン 22.7R2 から 22.7R2.3 まで
脆弱性 CVE-2025-0283の概要
CVE-2025-0283 は、特にセキュリティ機能を回避される可能性がある脆弱性です。攻撃者は、この脆弱性を利用して権限の昇格や機密情報へのアクセスを得る可能性があります。
影響を受けるバージョン
パッチがリリースされているのでバージョンアップする事をお勧めします。
- Ivanti Connect Secure
- バージョン 22.7R2.4 およびそれ以前
- バージョン 9.1R18.9 およびそれ以前
- Ivanti Policy Secure
- バージョン 22.7R1.2 およびそれ以前
- Ivanti Neurons for ZTA Gateways
- バージョン 22.7R2.3 およびそれ以前