Flashpointの脆弱性ウィークリーレポート：CVE-2025-22457他

2025年4月第2週：Flashpointの脆弱性分析・優先順位付けに関するウィークリーレポート

脆弱性を予測し、状況を把握して優先順位を付けることで、組織に対する脅威に効果的に対処できます。

＊本記事は、弊社マキナレコードが提携する米Flashpoint社のウィークリーレポートを翻訳したものです。

脅威アクターのキャンペーンにおいて、初期アクセスベクターとして脆弱性が使われるケースは180％増加しており、これは効果的な優先順位付けのプランニングがこれまで以上に重要になったことを意味しています。毎週発行される本シリーズでは、Flashpointが優先的に対処すべきと判断した脆弱性とその根拠を詳しく説明するだけでなく、より効率的な修復措置をサポートするために、各組織が迅速に優先順位を決める際に役立つ分析をお届けします。

新しい脆弱性エクスプロイトやゼロデイは日々発見されており、プロアクティブに脆弱性を管理する戦略が必要不可欠になってきました。このウィークリーレポートを活用することで、セキュリティチームがパッチ管理にインテリジェンス主導のアプローチを採用できるようになるため、組織は包括的な脆弱性インテリジェンスを通じてタイムリーな修復措置を適用できるようになります。

主な脆弱性：2025年4月第2週

優先順位付けの出発点

Flashpointが今週公開した脆弱性のうち、すぐに対処可能な脆弱性は103件を数えます。それぞれの脆弱性には解決策と公開済みのエクスプロイトが存在し、リモートで悪用できる状態になっています。だからこそ、これらの脆弱性は優先順位付けの取り組みを始める出発点として理想的なのです。

画像1：先週公開された脆弱性のうち、エクスプロイトがリリース済みで解決策もあり、なおかつリモートで悪用可能な欠陥の数（画像入手元：Flashpoint）

さらに詳しく調査 – 緊急性の高い脆弱性

Flashpointが先週公開した脆弱性のうち、今週の脆弱性分析・優先順位付けに関するウィークリーレポートでは以下の5件が取り上げられています。その根拠は次の通りです。

• 広く使用されている製品に存在し、企業に影響を及ぼす可能性がある
• 実際に悪用されている、あるいはエクスプロイトが利用可能
• システム全体が侵害される可能性がある
• ネットワークを介して単体で、あるいはほかの脆弱性と組み合わせて悪用される可能性がある
• 対処するための解決策がある

さらに、これらの脆弱性はすべて簡単に発見できるため、ただちに調査して修正する必要があります。

これらの脆弱性にプロアクティブな姿勢で対処し、公開済みのソースにとどまらない包括的なカバレッジを確保するために、Flashpointの脆弱性インテリジェンスをご活用ください。ITやOT、IoT、CoT、さらにオープンソースのライブラリと依存関係を網羅する包括的なカバレッジを提供するFlashpointは、NVDに含まれていない、あるいはCVE IDのない脆弱性を10万件以上カタログ化し、一般に利用可能なソースを超える包括的なカバレッジを確保しています。なお、NVDでカバーされていない脆弱性はCVE IDが割り当てられていないため、VulnDBのIDによって言及されます。

評価：2025年4月7日時点

注：脆弱性の深刻度を表すスコアは、新たな情報が反映されたことで変動する可能性があります。Flashpointでは最新かつ関連性の高い入手可能な情報を使って脆弱性データベースを維持しています。より多くの脆弱性に関するメタデータを確認し、最新の情報を入手するにはログインしてください。

CVSSスコア：当社アナリストは入手可能な新しい情報を基に、NVDが評価したCVSSスコアを計算し、必要に応じて調整しています。

ソーシャルリスク評価：Flashpointでは脆弱性がソーシャルメディアでどの程度注目されているかを推定し、評価しています。言及や議論が増えるとソーシャルリスク評価も上がり、悪用される可能性が高くなります。この評価には投稿量や投稿者などの要素が考慮されており、脆弱性の関連性が低くなれば評価は下がります。

ランサムウェア攻撃で利用される可能性：この評価では、ある脆弱性とランサムウェア攻撃での使用が確認された脆弱性との類似性を推定します。当社が脆弱性に関する新たな情報（悪用方法、影響を受けるテクノロジーなど）を入手し、さらにランサムウェア攻撃に使われる脆弱性が追加で発見されると、この評価も変動することがあります。

Flashpoint Igniteでは各要素が視認性の高いレイアウトにまとめられており、例えばIvantiの脆弱性に関するレコードは以下のような形で参照することができます。

このレコードでは影響を受ける製品のバージョン、MITRE ATT&CKのマッピング、アナリストのメモ、解決策の説明、分類、脆弱性のタイムラインとエクスポージャー指標、エクスプロイトに関する参考情報など追加のメタデータが提供されています。

注目すべき脆弱性に対するアナリストのコメント

ここでは、組織が危険にさらされた際に重点的に対応すべき脆弱性について、すでに話題に上がった5つの脆弱性を例にFlashpointのアナリストが説明します。

CVE-2025-22457

複数のIvanti製品に、WebRequest::dispatchRequest()関数に関連するオーバーフロー状態が存在します。この状態は、HTTPのX-Forwarded-Forヘッダーを介して渡された入力値が適切に検証されていない場合に発生します。特別に作成したリクエストをリモート攻撃者が使用するとスタックベースのバッファオーバーフローを引き起こせるため、サービス拒否攻撃や任意のコード実行を許す可能性があります。2025年4月3日現在、Ivanti Connect Secureにおける本脆弱性が実際に悪用されている事例が報告されています。

CVE-2025-2071

これは、FAST LTA Silent BricksのWebUIコンポーネント内に存在する脆弱性です。この脆弱性は「hd」および「pi」パラメータ経由で渡された入力値が適切に検証されていない場合に発生します。この無害化されていない入力値は直接システムレベルのコマンドに渡されるため、悪意のある攻撃者は自らのコマンドを注入することができます。特別に細工されたリクエストを使うことで、リモート攻撃者は任意のOSコマンドを注入して実行できます。

CVE-2025-30356

NASA CryptoLibのcore/crypto_tc.cにあるCrypto_TC_ApplySecurity_Cam()関数内には、整数アンダーフロー状態が存在します。この状態は、フレーム長フィールドを介して渡された入力値が適切に検証されない場合に発生します。リモート攻撃者は特別に用意したフレームを使用することでヒープベースのバッファオーバーフローを引き起こせるため、サービス拒否攻撃や任意のコード実行につながる恐れがあります。この問題はCrypto_TC_ApplySecurity()関数内に存在すると報告されていますが、Flashpointのアナリストは、根本原因がCrypto_TC_ApplySecurity_Cam()関数内ですでに修正済みである点に注目しています。

現在、この不具合を修正するための既知の回避策やアップグレードはありません。ただし、この脆弱性に対処するためのパッチがGITやCVS、SVNといったソースコードリポジトリにコミットされています。次回のソフトウェア更新時にパッチが組み込まれるまでは、既存のインストールに手動でパッチを当てることが知られている唯一の解決策です。また、これはライブラリ／フレームワークの脆弱性です。このコードはさまざまなソフトウェアで使用されているため、問題がいろいろな形で顕れる可能性があります。

CVE-2025-3015

Open Asset Import Library（assimp）には、AssetLib/ASE/ASELoader.cppのASEImporter::BuildUniqueRepresentation() 関数に境界外読み取りの脆弱性があり、無効な頂点インデックスの処理時にトリガーされます。これにより、コンテキスト依存型の攻撃者がライブラリにリンクされたプロセスをクラッシュさせたり、任意のコードを実行したりする可能性があります。Flashpointのアナリストは、境界外読み取りの脆弱性の直接的な影響がクラッシュであり、任意のコードが漏洩する危険性がある点に注目しています。場合によっては、任意のコードが実行される可能性もあります。この問題によって任意のコードが実行されるという主張を裏付ける情報は提供されていません。

現在、この問題を修正する既知の回避策やアップグレードはありませんが、この脆弱性に対するパッチがソースコードリポジトリ（GIT、CVS、SVN など）にコミットされています。このパッチがソフトウェアの次期リリースに組み込まれるまでは、既存のインストールに手動でパッチを適用することが唯一知られている解決策です。詳細についてはIgniteでこの脆弱性の情報にアクセスし、参照セクションのベンダーリンクをご覧ください。これはライブラリ／フレームワークの脆弱性です。このコードは幅広いソフトウェアで使用されており、この問題がさまざまな形で現れる可能性があります。この脆弱性がローカルアクセスを必要とする、あるいはリモートから悪用されるかどうかは、実装によって異なります。

CVE-2025-31129

この脆弱性は、Joobyのinternal/pac4j/SessionStoreImpl.java内のSessionStoreImpl::strToObject()関数に存在します。セッションデータ経由で渡された入力値が安全でない方法でデシリアライズされた場合に発生し、リモート攻撃者による任意のコード実行が可能になります。この脆弱性を悪用するためにはユーザーによる操作が必要であると、提供されたCVSSv3.1スコアに関するセクションの中でベンダーは述べています。

しかしPOCにおけるこの問題の大まかな分析では、影響を受けたSessionStoreImplクラスのget()メソッドへ特別に作成したセッショントークンが渡された場合、ユーザーの操作がなくともこの脆弱性が悪用できる可能性があることが明らかになりました。これもライブラリ／フレームワークの脆弱性です。このコードはさまざまなソフトウェアで使用されているため、問題がいろいろな形で顕れる可能性があります。

Flashpoint, VulnDBについて

Flashpointは、Deep & DarkWeb（DDW）に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。