Ivanti(米カリフォルニア州)は4月3日にセキュリティアドバイザリを発行し Connect Secure、Policy Secure、ZTA Gatewayにおけるスタックベースのバッファーオーバーフローの脆弱性CVE-2025-22457を明らかにしました。米CISAはこの脆弱性をKEV(既知の悪用された脆弱性)カタログに追加しています。
2月のセキュリティアドバイザリでは脆弱性とされず
Ivantiは2025年2月11日発行のセキュリティアドバイザリでCVSSスコア9.9のCVE-2025-22467を含む8件の脆弱性を公表するとともに製品の最新バージョンでこれら脆弱性は解消されていると発表しました。その際、今回公表した脆弱性CVE-2025-22457についてはバグと判断していたようですが、その後、リモートコード実行につながる可能性があることが判明したため4月3日のセキュリティアドバイザリでアップデートした経緯があるようです。CVE-2025-22457のCVSSスコアは9.0です。Connect Secureはバージョン22.7R2.6より前のバージョン、Policy Secureはバージョン22.7R1.4より前のバージョン、ZTA Gatewayはバージョン22.8R2.2より前のバージョンにはスタックベースのバッファオーバーフローにより、認証されていないリモートの攻撃者がリモートコードを実行できる可能性があるということです。
IvantiはConnect Secureについては2月にリリースされたバージョン22.7R2.6を適用するように求めています。また、Policy Secureのパッチは現在開発中で4月21日に利用可能になるということです。IvantiによるとPolicy Secureはインターネットに接続することを想定していないためリスクは低く、CVE-2025-22457による悪用は確認されていないということです。ZTA Gatewayは4月19日に現在開発中のパッチが自動的に適用されるということです。CVE-2025-22457の影響を受ける恐れのある製品として他にPulse Connect Secureがありますが、PSAシリーズは2023年1月に販売が終了し2024年12月31日にサポートも終了していることからIvantiは安全なプラットフォームへの移行を顧客に求めています。
マルウェアTRAIlBLAZEとBRUSHFIREが展開される
マンディアントは今年3月中旬にCVE-2025-22457の悪用を確認しているということです。攻撃者はCVE-2025-22457を悪用してマルウェアTRAIlBLAZEとBRUSHFIREを展開したということです。また、マルウェアSPAWNの展開も確認されたということです。マンディアントによるとSPAWNマルウェアによる侵害システムは脅威グループUNC5221に起因し、UNC5221は中国と関係のあるスパイ活動の疑いのあるアクターだということです。CVE-2025-22457は当初、低リスクと判断し脆弱性ではなくバグとして取り扱っていたところ、脅威アクターは2月11日にリリースされたパッチを調査し、複雑なプロセスを通じてリモートコード実行を実現する可能性を発見した可能性が高いとマンディアントは指摘しています。米CISAは4月4日にCVE-2025-22457をKEV(既知の悪用された脆弱性)カタログに追加しました。
■出典