ITソフトウェアベンダーIvantiは、最近、Ivanti Connect Secure(ICS)VPNアプライアンス、Pulse Connect Secure、Ivantiポリシーセキュア、およびZTA Gatewaysに影響を与える、現在パッチされた重要なセキュリティ脆弱性の詳細をリリースしました。
CVE-2025-22457(CVSSスコア9.0)として識別される脆弱性は、リモートの認証型攻撃者が影響を受けるシステムでリモートコード実行を実現できるようにするスタックベースのバッファーオーバーフローです。ただし、この欠陥は、2025年2月11日にリリースされたIvanti Connect Secureバージョン22.7R2.6で修正されました。
「脆弱性は、期間と数字に限定されたキャラクターのバッファオーバーフローであり、リモートコードの実行として悪用されないと評価され、決定されたと判断され、サービス拒否の要件を満たしていません」とIvanti木曜日に公開されたセキュリティアドバイスで述べた。
脆弱性は、次の製品とバージョンに影響します。
| 製品名 | 影響を受けるバージョン | 解決されたバージョン | パッチの可用性 |
| Ivanti Connect Secure | 22.7R2.5以前 | 22.7R2.6(2025年2月11日リリース) | ポータルをダウンロードします |
| パルスコネクトセキュア(EOS) | 9.1R18.9以前 | 22.7R2.6 | Ivantiに連絡して移行します |
| Ivantiポリシーセキュア | 22.7R1.3および前 | 22.7R1.4 | 4月21日 |
| ZTAゲートウェイ | 22.8R2および以前 | 22.8R2.2 | 4月19日 |
Ivantiは、Ivanti Connect Secure(22.7R2.5以前)とPulse Connect Secure 9.1xを使用して、2024年12月に終了したAppliancesを使用して「顧客の数が限られている」ことを認識していると述べました。それは、開示時点で野生の政策安全またはZTAゲートウェイの搾取を認識していないと付け加えました。
「顧客は外部ICTを監視し、Webサーバーのクラッシュを探す必要があります。ICT結果が妥協の兆候を示している場合は、アプライアンスで工場出荷時のリセットを実行し、バージョン22.7R2.6を使用してアプライアンスを生産に戻す必要があります」と同社は付け加えました。
Google所有のMandiantであるIvantiによる開示に続いて、CVE-2025-22457の脆弱性、爆発後の追加調査の詳細が記載された別のブログ投稿をリリースしました。
Mandiantによれば、CVE-2025-22457の搾取の最初の既知のインスタンスは、2023年からゼロデイの脆弱性を展開している中国関連のスパイ。CVE-2025-0282、CVE-2023-46805そしてCVE-2024-21887。
自分を確保してください
一方、Mandiantは、CVE-2025-22457の脆弱性に対処するために、Ivanti Connect Secure(ICS)アプライアンスをバージョン22.7R2.6以降にアップグレードすることにより、利用可能なパッチをすぐに適用するよう組織に強く求めています。
さらに、組織は、外部および内部整合性チェッカーツール(「ICT」)を使用し、疑わしいアクティビティが検出された場合はIvantiサポートに手を差し伸べる必要があることが示唆されています。
