技術情報・コラム記事
セキュリティセキュリティ

2025年1月 セキュリティ情報 Ivanti 社複数製品の脆弱性 [CVE-2025-0282]など

目次

ご挨拶

インフラ業務と並行しつつ「セキュリティの町医者」を目指している三浦です。


2025年も宜しくお願いいたします!
2025年1月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。

注目した脆弱性(Ivanti 社複数製品の脆弱性 [CVE-2025-0282])

情報公開日:2025/1/8(現地時間)

一次情報元(引用元) "Ivanti Community"Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)
その他、情報ソース "Cybersecurity Help s.r.o." Multiple vulnerabilities in Ivanti Connect Secure
"Cybersecurity Help s.r.o." Multiple vulnerabilities in Ivanti Neurons for ZTA gateways
"Cybersecurity Help s.r.o." Multiple vulnerabilities in Ivanti Policy Secure
"CISA.gov" CISA Adds One Vulnerability to the KEV Catalog (Release DateJanuary 08, 2025)
CVE番号及び深刻度 CVE番号:CVE-2025-0282 深刻度:Critical (スコア:9.0)
 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
脆弱性内容 Ivanti 社は現地時間2025年1月8日、同社複数製品に存在するリモートコード実行の脆弱性「CVE-2025-0282」を公表。
当該脆弱性はネットワーク経由で製品にアクセスできれば悪用が行え、攻撃者が未認証状態でも攻撃は成立する。悪用された場合、任意のコード実行が行われる恐れがある。
なお、当該脆弱性を悪用した攻撃が確認されており、同社も悪用を認識しているとコメントしている。
想定される影響 任意コードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。
影響を受ける製品 Ivanti Connect Secure Ver.22.7R2.5 より前のバージョン
Ivanti Policy Secure Ver.22.7R1.2 より前のバージョン
Ivanti Neurons for ZTA Gateways Ver.22.7R2.3 より前のバージョン
解決策 ・当該脆弱性に対応したバージョンへのUpdate
 ⇒詳細については「一次情報元(引用元)」でご確認ください。
コメント ネットワークアクセス制御を有する機器は一番最初に不正アクセスされる可能性が高く、2024年上半期のランサムウェア感染についてはVPN経由が最も多いという統計(警察庁統計情報)も出ている。
当該脆弱性はIvanti 社のネットワークアクセス制御関連の複数製品に存在しており、既に悪用も確認されているので
当該製品を利用している場合は、至急対応を行うことを強く推奨する。

その他、注目した脆弱性/ソフトウェアUpdate情報

2024年12月下旬の脆弱性/ソフトウェア情報も含まれております。

日付 ソフトウエア 情報/コメント
2024/12/30 PAN-OS アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称を使用)は、Palo Alto Networks 社が2024/12/27に公開したPAN-OSのDoS脆弱性が悪用されていることを公表。

"CISA Adds One Known Exploited Vulnerability to Catalog (Release Date : December 30, 2024)"
https://www.cisa.gov/news-events/alerts/2024/12/30/cisa-adds-one-known-exploited-vulnerability-catalog
"CVE-2024-3393 PAN-OS: Firewall Denial of Service (DoS) in DNS Security Using a Specially Crafted Packet"
https://security.paloaltonetworks.com/CVE-2024-3393
2025/1/7 Oracle WebLogic Server CISAは、Oracle 社が2020年4月に公開したOracle WebLogic Server の任意コード実行脆弱性(CVE-2020-2883)が悪用されていることを公表。

"CISA Adds Three Known Exploited Vulnerabilities to Catalog (Release Date : January 07, 2025)"
https://www.cisa.gov/news-events/alerts/2025/01/07/cisa-adds-three-known-exploited-vulnerabilities-catalog
"Oracle Critical Patch Update Advisory - April 2020"
https://www.oracle.com/security-alerts/cpuapr2020.html#AppendixFMW
"(April 16th, 2020) Oracle WebLogic Server T3 Protocol Deserialization of Untrusted Data Remote Code Execution Vulnerability ZDI-20-504 ZDI-CAN-10341"
https://www.zerodayinitiative.com/advisories/ZDI-20-504/
2025/1/7 Mozilla Firefox /Firefox ESR Mozilla 社はFirefox /Firefox ESR のセキュリティアップデートを公開。悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。

"Mozilla Foundation Security Advisory 2025-01 Security Vulnerabilities fixed in Firefox 134"
https://www.mozilla.org/en-US/security/advisories/mfsa2025-01/
"Mozilla Foundation Security Advisory 2025-02 Security Vulnerabilities fixed in Firefox ESR 128.6"
https://www.mozilla.org/en-US/security/advisories/mfsa2025-02/
"Mozilla Foundation Security Advisory 2025-03 Security Vulnerabilities fixed in Firefox ESR 115.19"
https://www.mozilla.org/en-US/security/advisories/mfsa2025-03/
2025/1/7
2025/1/8
Google Chrome Google 社は、デスクトップ向け[拡張安定化版含む]及びAndorid /iOS 向けのGoogle Chrome のアップデートを公開。

"Stable Channel Update for Desktop (Tuesday, January 7, 2025)"
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop.html
"Extended Stable Update for Desktop (Tuesday, January 7, 2025)"
https://chromereleases.googleblog.com/2025/01/extended-stable-update-for-desktop.html
"Chrome for Android Update (Tuesday, January 7, 2025)"
https://chromereleases.googleblog.com/2025/01/chrome-for-android-update.html
"Chrome Stable for iOS Update (Wednesday, January 8, 2025)"
https://chromereleases.googleblog.com/2025/01/chrome-stable-for-ios-update.html
2025/1/14 Microsoft 社複数製品 Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用確認済みの脆弱性3件、第三者から情報開示された脆弱性5件も修正されている。

"2025 年 1 月のセキュリティ更新プログラム"
https://msrc.microsoft.com/update-guide/releaseNote/2025-Jan
"2025 年 1 月のセキュリティ更新プログラム (月例)"
https://msrc.microsoft.com/blog/2025/01/202501-security-update/

悪用確認済みの脆弱性
"Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability CVE-2025-21333"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21333
"Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability CVE-2025-21334"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21334
"Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege Vulnerability CVE-2025-21335"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21335

第三者から情報開示された脆弱性
"Microsoft Access Remote Code Execution Vulnerability CVE-2025-21186"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21186
"Microsoft Access Remote Code Execution Vulnerability CVE-2025-21366"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21366
"Microsoft Access Remote Code Execution Vulnerability CVE-2025-21395"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21395
"Windows App Package Installer Elevation of Privilege Vulnerability CVE-2025-21275"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21275
"Windows Themes Spoofing Vulnerability CVE-2025-21308"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21308
2025/1/14 FortiOS Fortinet 社及びCISAは、FortiOS の認証バイパス脆弱性(CVE-2024-55591)が悪用されていることを公表。

"Authentication bypass in Node.js websocket module"
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
"CISA Adds Four Known Exploited Vulnerabilities to Catalog (Release Date : January 14, 2025)"
https://www.cisa.gov/news-events/alerts/2025/01/14/cisa-adds-four-known-exploited-vulnerabilities-catalog
2025/1/14 Adobe 社複数製品 Adobe 社は同社複数製品のアップデートを公開。各製品の脆弱性が修正されている。

"Latest Product Security Updates"
https://helpx.adobe.com/security.html
2025/1/14 Google Chrome Google 社は、デスクトップ向け及びAndorid 向けのGoogle Chrome のアップデートを公開。

"Stable Channel Update for Desktop (Tuesday, January 14, 2025)"
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
"Chrome for Android Update (Tuesday, January 14, 2025)"
https://chromereleases.googleblog.com/2025/01/chrome-for-android-update_01618605871.html
2025/1/16
2025/1/17
PHPの複数バージョン PHPの複数バージョン「8.4.3」「8.3.16」をリリース。

"ChangeLog - Version 8.4.3"
https://www.php.net/ChangeLog-8.php#8.4.3
"ChangeLog - Version 8.3.16"
https://www.php.net/ChangeLog-8.php#8.3.16
2025/1/17 Microsoft Edge Microsoft 社は、同社Microsoft Edge のセキュリティ更新プログラムを更改。同製品特有の脆弱性2件も修正されている。

"Release notes for Microsoft Edge Security Updates (January 17, 2025)"
https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#january-17-2025
2025/1/21 Oracle 社複数製品 Oracle 社は同社複数製品(MySQL /Java /Oracle WebLogic Server、その他製品など)のOracle Critical Patch Update Advisory を公開。各製品の複数脆弱性が修正されている。

"Oracle Critical Patch Update Advisory - January 2025"
https://www.oracle.com/security-alerts/cpujan2025.html
2025/1/21 Node.js 「Node.js」開発チームは深刻度「高」を含む複数脆弱性を修正したセキュリティアップデート情報を公開。

"Tuesday, January 21, 2025 Security Releases"
https://nodejs.org/en/blog/vulnerability/january-2025-security-releases
2025/1/22 ClamAV 「ClamAV」開発チームはDoS脆弱性(CVE-2025-20128)を修正したセキュリティアップデート情報を公開。

"ClamAV 1.4.2 and 1.0.8 security patch versions published"
https://blog.clamav.net/2025/01/clamav-142-and-108-security-patch.html
2025/1/21
2025/1/22
Google Chrome Google 社は、デスクトップ向け及びAndorid /iOS 向けのGoogle Chrome のアップデートを公開。

"Stable Channel Update for Desktop (Wednesday, January 22, 2025)"
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_22.html
"Chrome for Android Update (Wednesday, January 22, 2025)"
https://chromereleases.googleblog.com/2025/01/chrome-for-android-update_22.html
"Chrome Stable for iOS Update (Tuesday, January 21, 2025)"
https://chromereleases.googleblog.com/2025/01/chrome-stable-for-ios-update_21.html
2025/1/27 Apple 社複数製品 Apple 社は、同社の複数製品のセキュリティUpdate を公開。積極的に悪用されている可能性(1/29 CISAが悪用確認報告済)がある権限昇格脆弱性「CVE-2025-24085」も複数製品で修正されている。

CVE-2025-24085が修正されている製品情報
"About the security content of iOS 18.3 and iPadOS 18.3"
https://support.apple.com/en-il/122066
"About the security content of watchOS 11.3"
https://support.apple.com/en-il/122071
"About the security content of macOS Sequoia 15.3"
https://support.apple.com/en-il/122068
"About the security content of visionOS 2.3"
https://support.apple.com/en-il/122073
"About the security content of tvOS 18.3"
https://support.apple.com/en-il/122072

上記以外のセキュリティ修正されている製品
"About the security content of iPadOS 17.7.4"
https://support.apple.com/en-il/122067
"About the security content of macOS Sonoma 14.7.3"
https://support.apple.com/en-il/122069
"About the security content of macOS Ventura 13.7.3"
https://support.apple.com/en-il/122070
"About the security content of Safari 18.3"
https://support.apple.com/en-il/122074
2025/1/28 Google Chrome Google 社は、デスクトップ向けのGoogle Chrome のアップデートを公開。

"Stable Channel Update for Desktop (Tuesday, January 28, 2025)"
https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_28.html
2025/1/30 ISC BIND Internet Systems Consortium(以降、ISCと略称)はDNS サーバで広く利用されているISC BIND のセキュリティアドバイザリを公開。緊急性の高い複数の脆弱性が修正されている。

"CVE-2024-11187: Many records in the additional section cause CPU exhaustion"
https://kb.isc.org/docs/cve-2024-11187
"CVE-2024-12705: DNS-over-HTTPS implementation suffers from multiple issues under heavy query load"
https://kb.isc.org/docs/cve-2024-12705

注目したインシデント

2024年12月下旬のインシデント情報も含まれております。

公表日 発生組織/業種 インシデント内容 情報/コメント
2024/12/25 非鉄金属/精密機器など複数 不正アクセスによる情報漏えい 保守委託先が管理している保守・監視用VPN装置経由で不正アクセスを受けた。調査した結果、データ流出の痕跡があったことを確認した。
2024/12/26 金融業(銀行) DDoS攻撃が原因と思われるインターネットバンキング障害 同行は原因公表はしていないが、報道では「サーバなどに大量のデータを送りつけて機能を低下させるDDoS攻撃」が原因とみられると掲載されている。
2024/12/26 印刷業 ランサムウェア感染 複数サーバが感染したとのこと。その他、詳細については不明。
2024/12/26 運輸業(海運業) ランサムウェア感染 当該事象により、社内システムが利用できなくなり、一部業務に支障を来している状況とのこと。
2024/12/26 航空業 DDoS攻撃が原因と思われるネットワーク障害 システムで利用しているルータが大量データを受信し障害が発生。同社は「DDoS攻撃を仕掛けられたようだ」として警視庁へ被害相談を行っている。
2024/12/28 地方自治体 フォーム誤設定による個人情報漏えい ダブルチェックを行っていたが、掲載内容の確認を十分に行なわなかったことが原因とコメントしている。
2024/12/30 金融業(銀行) DDoS攻撃が原因と思われるインターネットバンキング障害 同行は原因公表はしていないが、報道では「サーバなどに大量のデータを送りつけて機能を低下させるDDoS攻撃」が原因とみられると掲載されている。
2024/12/31 金融業(銀行) DDoS攻撃が原因と思われるインターネットバンキング障害 外部からの大量データ送付により、断続的に同行のインターネットバンキングに繋がりにくい事象が発生。
2025/1/2 通信業 DDoS攻撃による同社サービス障害 DDoS攻撃によりネットワーク輻輳が発生し、同社サービスにアクセスしづらい事象が発生した。
2025/1/6 金融業(信販会社) カード会員向けのスマートフォンアプリへのログイン障害(DDoSの可能性有り) DDoS以外にも年始にカードの利用状況を参照する会員が増えたことなども考えられるという。
2025/1/6 報道 IT ドロップキャッチ 過去に利用していたドメインがドロップキャッチされ、アダルトブログサイトで利用されているとのこと。
2025/1/6 乳業 ランサムウェア感染 既に外部専門家の助言のもと、復旧を最優先に対応しているとのこと。なお、個人情報漏えいについては否定できない為、個人情報保護委員会へも報告している。
2025/1/7 報道 金融業(銀行) DDoS攻撃が原因と思われるインターネットバンキング障害 同行は原因公表はしていないが、報道では「サーバなどに大量のデータを送りつけて機能を低下させるDDoS攻撃」が原因とみられると掲載されている。
2025/1/7 調査結果報告 電気機器 ランサムウェア感染による個人情報漏えい 2024年10月に発生したランサムウェア感染に関する調査結果を公表。原因はフィッシングメール対策及び海外拠点を含むグローバルでのネットワークセキュリティ体制に一部不備と説明している。
2025/1/9 一般財団法人 DDoS攻撃による同法人のサービス障害 報道では9日午前7時ごろから接続しにくい状況が続いているが、アプリ版は問題なく使えるという。
2025/1/15 地方自治体 不正アクセスによる内部犯行 人事異動前に業務上知り得た管理者権限のアカウントとパスワードを使用し、興味本位で人事関係や職員情報などを閲覧したとのこと。
2025/1/16 福祉法人 誤設定による問い合わせフォーム利用者情報公開 原因は「当該ホームページのシステムの調整を行った際に使用したソフトの予期せぬ誤作動」とコメントしている。
2025/1/17 IT/コンサルタント 不正アクセスによる個人情報漏えい 不正アクセスは開発サーバだったが、個人情報を含む本番環境データを開発環境で流用していたため、個人情報漏えいを公表した。なお、不正アクセスの原因はアクセス制御不備とコメントしている。
2025/1/20 サービス業 DDoS攻撃によるサービス障害 DDoS攻撃の影響により、アプリの機能を「会員証の表示」のみに制限したとのこと。
2025/1/21
2025/1/28(続報)
サービス業 不正アクセスによる個人情報漏えいの可能性 不正アクセスを検知し、直ちにサーバーからネットワークを切り離すなど必要な対策を実施。その後の調査で約700万人以上の会員情報が流出した可能性を続報で発表した。
2025/1/21 報道 個人(高校生) 自作プログラムを使ったクレジットカード情報不正取得 クレジットカードの有効性を確認する自作のプログラムを使い、秘匿性の高い通信アプリ上で、6人分のクレジットカード情報を不正に入手したなどと報道されている。
2025/1/22 金融業 誤設定による会社間での個人情報漏えい 同社がカード業務を受託する企業を含めた会社間で、保有するカード情報の一部が自社以外の企業の業務端末でも閲覧可能になっていたことを公表。
2025/1/22 サービス業 不正アクセスによるサービス停止 不正アクセスによりネットワークトラブルが発生し、同社のチケット購入等が不可能となった。なお、現在も調査中であるとコメント。
2025/1/24 建設業 ランサムウェア感染 VPN経由で被害に遭った。被害の遭ったサーバはUTM(総合脅威管理アプライアンス)を利用していたが、最新版に更新されていなかったことが主因とコメントしている。
2025/1/27 小売業 不正アクセスによる情報漏えい 原因はシステムで使ってるソフトウェア脆弱性を突かれたとコメントしている。
TOP技術情報・コラム記事2025年1月 セキュリティ情報 Ivanti 社複数製品の脆弱性 [CVE-2025-0282]など