【Ivanti/旧Pulse Secure】CVE-2025-22457の脆弱性について

連絡
お知らせ管理番号:
0000005260
公開日:
2025年4月4日

お客様各位

拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。 

■概要
Ivanti Pulse Secure製品において深刻な脆弱性(CVE-2025-22457 CVSSスコア9.0 )がIvanti社より公開されました。
CVE-2025-22457は既に複数のお客様からISAとPSAへの侵害報告がございます。
その為、ISA22.7R2.5以下及び、PSA9.1R18.9以下のお客様は頻繁に整合性チェックツール(外部ICT)を実行してください。また、改ざんが見られた場合はネットワークから隔離してください。
ISAにおいて、改ざんが見られた場合はFactory Reset(初期化)を実施してから対策済みバージョンである22.7R2.6へのアップグレードをお願いいたします。

■深刻な脆弱性
-CVE-2025-22457(CVSSスコア9.0)
 該当バージョン:ISA 22.7R2.5以下、PSA 9.1R18.9以下
 影響:ICS/PCSのスタックベースのバッファ オーバーフローにより、
    ICS/PSAで認証されてないリモート攻撃者が悪意のあるコードを実行できる可能性があります。

■ 対策済みバージョン
Ivanti Connect Secure(ISA)
・22.7R2.6(リリース済み)

■恒久対策
ISAをご利用のお客様は対策バージョン22.7R2.6を適用してください。

■PSA(9.1以下)について
 PCS9.1以下のOSはEoLとなっているため、
 対策バージョンのリリースはございません。

■回避策
回避策はございません。

■ メーカページ
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US

なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。

サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。

以上、宜しくお願いいたします。