お客様各位
日頃より弊社サービスをご利用いただき誠にありがとうございます。
■内容
米国時間の2025年9月9日、 Ivanti Connect Secure (ICS)において脆弱性リスト(最大CSVVスコア8.9)がIvanti社より公開されました。
重要の脆弱性に対処するICSの更新プログラムがリリースされております。開示された時点で、これらの脆弱性が悪用されたという報告はございません。
◆CVE-2025-55145
CVSSスコア:8.9 (High) CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L
説明:
バージョン22.7R2.9または22.8R2未満のIvanti Connect Secureで認証が欠落しているため、リモートの認証された攻撃者が既存の HTML5 接続をハイジャックできる可能性があります。
◆CVE-2025-55147
CVSSスコア:8.8 (High) CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
説明:
バージョン22.7R2.9または22.8R2未満のIvanti Connect Secureに潜む CSRF により、認証されていないリモートの攻撃者が被害者ユーザになりすまして機密性の高い操作を実行できる可能性があります。ユーザによる操作が必要です。
◆CVE-2025-55141
CVSSスコア:8.8 (High) CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
説明:
バージョン22.7R2.9または22.8R2未満のIvanti Connect Secureで認証が欠落しているため、読み取り専用の管理者権限を持つリモート認証済みの攻撃者が認証関連の設定を構成できる可能性があります。
◆CVE-2025-55142
CVSSスコア:8.8 (High) CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
説明:
バージョン22.7R2.9または22.8R2未満のIvanti Connect Secureで認証が欠落しているため、読み取り専用の管理者権限を持つリモート認証済みの攻撃者が認証関連の設定を構成できる可能性があります。
◆CVE-2025-55148
CVSSスコア:7.6 (High) CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H
説明:
バージョン22.7R2.9または22.8R2未満のIvanti Connect Secureで認証が欠落しているため、読み取り専用の管理者権限を持つリモート認証済みの攻撃者が制限された設定を構成できる可能性があります。
※上記以外に6件の CVSSスコア Medium の脆弱性が併せて報告されています。
■ 影響のあるバージョン
Ivanti Connect Secure(ISA)
・ICS22.7R2.8以前のすべてのバージョン
■ 対策済みバージョン
Ivanti Connect Secure(ISA)
・ICS22.7R2.9(リリース済み)
※ICS22.8R2は弊社未リリースです。
■恒久対策
ISAをご利用のお客様は対策バージョン22.7R2.9を適用してください。
■PSA(9.1以下)について
PCS9.1以下のOSはEoLとなっているため、
対策バージョンのリリースはございません。
■緩和策
CVE-2025-8712, CVE-2025-55148, CVE-2025-55139, CVE-2025-55141, CVE-2025-55142,CVE-2025-55144の脆弱性に対しての回避策は、管理者用の管理ポータルをインターネットに公開しないこととなります。
手順としては下記をご確認いただけますようお願い申し上げます。
【1.管理画面にアクセスするPortを制限】
ISA/PSA は、Internal Port、External Port、Management Portの各Portに対して管理画面へのアクセス許可設定をすることが可能です。
※PSA300はManagement Portは実装されていません。
下記のとおり、外部から管理画面へアクセスできないように設定してください。
・パス:Administrator > Admin Realms > Admin Users > Authentication Policy > Source IP > Administrator sign in ports より、外部からアクセス可能なPortのチェックを外してください。
【2.管理画面にアクセスできる送信元IPアドレスを制限】
管理画面へのアクセス制限を送信元IPアドレス単位で設定することが可能です。
・パス:Administrator > Admin Realms > Admin Users > Authentication Policy > Source IP > Allow or deny users from the following IP addressesにチェックを入れます。
・許可するIPv4/v6アドレスとサブネットマスクを入力し、Allowを選択し、[Add]をクリックします。
※登録するIPアドレスを誤ると、管理画面にアクセスできなくなります。
■ メーカページ
https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs?language=en_US&_gl=1*txfg32*_gcl_au*Mzk4NjMyNTY5LjE3NTYzNDE5Nzc.
ご不明な点、お問い合わせに関しては下記/Ivanti/PulseSecureサポート担当までお問い合わせ下さい。
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。弊社においても脆弱性に関する詳細な情報は保持しておりません。
サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れいりますが、何卒ご理解ご協力いただけますようお願い申し上げます。
