JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月24日、「Ivanti Connect Secureに設置されたマルウェアDslogdRAT - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、Ivanti製品の緊急の脆弱性「CVE-2025-0282」を悪用する国内組織を狙ったサイバー攻撃について注意を喚起した。

この脆弱性は2025年1月に修正されているが、そのおよそ1カ月前の2024年12月に国内の組織を標的に、Webシェルおよびマルウェア「DslogdRAT」を設置する目的で悪用されたという。

  • Ivanti Connect Secureに設置されたマルウェアDslogdRAT - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

    Ivanti Connect Secureに設置されたマルウェアDslogdRAT - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-0282 - スタックベースのバッファーオーバーフローの脆弱性。認証されていないリモートの攻撃者は、コードを実行できる可能性がある(CVSSスコア: 9.0)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Ivanti Connect Secure 22.7R2から22.7R2.4までのバージョン
  • Ivanti Policy Secure 22.7R1から22.7R1.2までのバージョン
  • Ivanti Neurons for ZTA gateways 22.7R2から22.7R2.3までのバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。なお、このバージョンからも本件とは異なる緊急の脆弱性「CVE-2025-22457」が発見されている。すべての脆弱性を対策する際はセキュリティアドバイザリー「April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-22457)」に従ってアップデートすることが推奨されている。

  • Ivanti Connect Secure 22.7R2.5
  • Ivanti Policy Secure 22.7R1.3
  • Ivanti Neurons for ZTA gateways 22.8R2

影響と対策

CVE-2025-0282を悪用したサイバー攻撃では、最初にPerlで記述されたWebシェルを設置し、このWebシェルを利用してマルウェアを配布したとみられている。マルウェアはハードコードされた設定情報に従い、攻撃者のコマンド&コントロール(C2: Command and Control)サーバに接続して次の機能を提供する。

  • ファイルのアップロードおよびダウンロード
  • シェルコマンドの実行
  • プロキシ機能
  • マルウェア「DslogdRAT」の動作フロー - 引用:JPCERTコーディネーションセンター

    マルウェア「DslogdRAT」の動作フロー 引用:JPCERTコーディネーションセンター

マルウェアは稼働時間を8時から20時に制限していることが確認されている。これは業務時間内に通信することで、検出を困難にする目的があると推測されている。

この攻撃により侵害されたデバイスからは、4月に報告のあったSPAWNマルウェアファミリーが検出されている。この事案ではIvanti製品の脆弱性「CVE-2025-22457」の悪用が確認されているが、同一犯によるものかは特定されていない。

JPCERT/CCはIvanti製品への攻撃が今後も継続する可能性があるとして、これら脆弱性の影響を受ける製品を運用している管理者に対し、最新情報の確認および最新バージョンへのアップデートを推奨している。