Ivantiゼロデイ脆弱性の悪用が激化：2025年7月の攻撃キャンペーンとの関連が明らかに

Ivantiゼロデイ脆弱性の悪用が急増、攻撃は2025年7月まで遡る

セキュリティ研究者らは、Ivantiのゼロデイ脆弱性の悪用が大幅に増加していることを確認した。攻撃の痕跡は2025年7月まで遡り、脅威アクターがこれらの脆弱性を悪用してウェブシェルを展開し、偵察活動を行い、マルウェアを侵害されたシステムにダウンロードしている。

技術的詳細

初期の報告では具体的なCVE IDは公開されていないが、攻撃はIvantiのエンタープライズ製品を標的としていると見られる。これらの製品は、リモートアクセス、エンドポイント管理、ネットワークセキュリティに広く利用されている。研究者らは以下の攻撃手法を観測している：

• ウェブシェルの展開：攻撃者は永続的なバックドアを設置し、アクセスを維持している。
• 偵察活動：脅威アクターはネットワークをスキャンし、機密データや追加の脆弱性を探索している。
• マルウェアの配信：二次的なペイロードがダウンロードされ、さらなる侵害を促進している。

このタイムラインから、攻撃は数か月間検出されないまま進行していた可能性があり、2025年7月が最も早い確認された悪用時期となっている。

影響分析

Ivantiの製品は多くのエンタープライズ環境で重要な役割を果たしており、特権アクセスや機密データを扱うことが多い。成功した悪用により、以下のリスクが生じる：

• 企業ネットワーク内でのラテラルムーブメント（横展開）
• データ流出やランサムウェアの展開
• 長期的なスパイ活動やサボタージュのための永続的なアクセス

Ivantiソリューションは広く採用されているため、政府、医療、金融などの分野の組織が特にリスクにさらされている。

セキュリティチーム向け推奨事項

1. 即時パッチ適用：Ivantiの最新セキュリティアップデートを入手次第、適用する。
2. 侵害指標（IoC）の監視：ウェブシェルの不審な活動、不正アクセス、予期しないアウトバウンド接続などのログを確認する。
3. ネットワークのセグメンテーション：重要なシステムを分離し、ラテラルムーブメントを制限する。
4. 検知能力の強化：EDR/XDRソリューションを導入し、攻撃後の挙動を特定する。
5. サードパーティリスクの見直し：Ivanti製品を使用しているベンダーやパートナーを通じたリスクを評価する。

SecurityWeekは、技術的な詳細や公式パッチが公開され次第、最新情報を提供する。