に認証バイパス脆弱性CVE-2025-22462-早急なパッチ適用を推奨.png)
Ivantiは、オンプレミス版「Ivanti Neurons for ITSM」に重大な認証バイパス脆弱性(CVE-2025-22462)が存在することを公表し、これを修正するセキュリティパッチをリリースしました。
この脆弱性により、攻撃者が認証なしでシステム管理者権限を取得する可能性があるため、対象バージョンを利用中の企業は早急な対応が求められます。
対象バージョン
本脆弱性は、以下のオンプレミス版 Ivanti Neurons for ITSM バージョンに影響します。
| 製品名 | 対象バージョン |
|---|---|
| Ivanti Neurons for ITSM(オンプレミスのみ) | 2023.4、2024.2、2024.3(いずれも5月2025セキュリティパッチ適用前) |
対策バージョン(パッチ適用後)
Ivantiは、以下の5月2025セキュリティパッチを適用することで本脆弱性への対応を完了すると案内しています。
| 製品名 | 対策バージョン(パッチ適用後) |
|---|---|
| Ivanti Neurons for ITSM(オンプレミスのみ) | 2023.4 May 2025 Security Patch 2024.2 May 2025 Security Patch 2024.3 May 2025 Security Patch |
脆弱性の概要
この脆弱性は、正規の認証プロセスを経ずに、リモートからシステム管理者権限を取得できてしまうという非常に深刻な問題です。
対象となるのは、バージョン2023.4、2024.2、2024.3で、いずれも2025年5月にリリースされたセキュリティパッチを適用していない場合に該当します。
仮に攻撃者がこの脆弱性を悪用した場合、ログイン認証を回避して直接システム内部に侵入し、管理者レベルでの操作が可能となるため、情報漏えいやシステム改ざんといった重大な被害につながるおそれがあります。
CVSS(共通脆弱性評価システム)による基本スコアは9.8(Critical)と非常に高く、Ivanti側もこの脆弱性を「緊急対応が必要なもの」と位置付けています。
ただし、環境によってはリスクが軽減されるケースもあり、たとえばIIS(Webサーバ)のアクセスを内部ネットワークに限定している場合や、DMZ環境下で運用している場合は、悪用リスクが相対的に下がるとされています。
現在のところ、この脆弱性を狙った実際の攻撃事例は報告されていませんが、状況が変わる可能性もあるため、早急にパッチ適用などの対応を進める必要があります。
関連記事
Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
Ivanti Connect Secureに深刻な脆弱性(CVE-2025-22467)
MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
Ivanti Endpoint Managerの脆弱性が実際に悪用されている-CISAがKEVへ追加
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
Ivantiの脆弱性を通じてMITRE(マイター)へゼロデイ攻撃が発生
2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査
