お客様各位
拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。
■概要
Ivanti Pulse Secure製品に影響のある複数の脆弱性がIvanti社より公表されました。
なお、全ての脆弱性はラボ環境で見つかったものであり、2月11日に公表された時点で
これらの脆弱性が悪用されたという報告はございません。
■緊急の脆弱性
●CVE-2025-22467(CVSSスコア9.9)
該当バージョン:ICS 22.7R2.5以前
影響:ICSのスタックベースのバッファ オーバーフローにより、
ネットワークからICSで認証された攻撃者が悪意のあるコードをICS上で実行することができます。
●CVE-2024-38657(CVSSスコア9.1)
該当バージョン:ICS 22.7 R2.3以前、IPS 22.7R1.2以前
影響:ファイル名を外部制御するとネットワークからICS/IPSの管理画面に
管理者権限で認証された攻撃者が任意のファイルを書き込むことができます。
●CVE-2024-10644(CVSSスコア9.1)
該当バージョン:ICS 22.7 R2.3以前、IPS 22.7R1.2以前
影響:コードインジェクションにより、ネットワークからICS/IPSの管理画面に
管理者権限で認証された攻撃者が悪意のあるコードをICS/IPS上で実行することができます。
※上記の緊急以外にも重要以下(CVSSスコア:6.0~7.1)の5つの脆弱性が公表されております。
※上記説明の「認証された攻撃者」とはICS/IPSのURLに接続して、
HostCheckerやID/Password、証明書などの認証を正常に通過できた(悪意ある)ユーザのみ、
この脆弱性を悪用する事が可能という意味となります。
■ 修正OS
Ivanti Connect Secure(ISA)
・22.7R2.6(リリース済み)
■恒久対策
ISAをご利用のお客様は対策バージョン22.7R2.6を適用してください。
■PSA(9.1以下)について
PCS9.1以下のOSはEoLとなっているため、原則として脆弱性の影響有無の調査は行われません。
また、同じ理由で対策バージョンのリリースもございません。
■ メーカページ
https://forums.ivanti.com/s/article/February-Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secure-IPS-and-Ivanti-Secure-Access-Client-ISAC-Multiple-CVEs?language=en_US
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。
サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。
以上、宜しくお願いいたします。
