Ivantiは、リモートコード実行を得るために攻撃で連鎖されていたEndpoint Manager Mobile (EPMM) ソフトウェアの2つのセキュリティ欠陥に対処するためのセキュリティアップデートをリリースしました。
問題の脆弱性は以下の通りです –
- CVE-2025-4427 (CVSSスコア: 5.3) – Ivanti Endpoint Manager Mobileにおける認証バイパスで、攻撃者が適切な資格情報なしに保護されたリソースにアクセスできる
- CVE-2025-4428 (CVSSスコア: 7.2) – Ivanti Endpoint Manager Mobileにおけるリモートコード実行の脆弱性で、攻撃者がターゲットシステム上で任意のコードを実行できる
これらの欠陥は以下の製品バージョンに影響します –
- 11.12.0.4およびそれ以前 (11.12.0.5で修正済み)
- 12.3.0.1およびそれ以前 (12.3.0.2で修正済み)
- 12.4.0.1およびそれ以前 (12.4.0.2で修正済み)
- 12.5.0.0およびそれ以前 (12.5.0.1で修正済み)
問題を報告したCERT-EUに感謝を示したIvantiは、述べて、「開示時点で非常に限定的な数の顧客が悪用されたことを認識している」とし、脆弱性は「EPMMに統合された2つのオープンソースライブラリに関連している」と述べました。
しかし、影響を受けたライブラリの名前は公開されていません。また、これら2つのライブラリに依存する他のソフトウェアアプリケーションが影響を受ける可能性があるかどうかも不明です。さらに、同社はまだ事例を調査中であり、悪意のある活動に関連する信頼できる侵害指標を持っていないと述べています。
「APIへのアクセスを組み込みのポータルACL機能または外部のWebアプリケーションファイアウォールを使用してすでにフィルタリングしている場合、顧客へのリスクは大幅に軽減されます」とIvantiは指摘しました。
「この問題はオンプレミスのEPMM製品にのみ影響します。Ivanti Neurons for MDM、Ivantiのクラウドベースの統合エンドポイント管理ソリューション、Ivanti Sentry、または他のIvanti製品には存在しません。」
別途、Ivantiは、リモートの認証されていない攻撃者がシステムへの管理者アクセスを得ることを可能にするNeurons for ITSMのオンプレミスバージョンの認証バイパスの欠陥(CVE-2025-22462、CVSSスコア: 9.8)を封じ込めるためのパッチを提供しました。このセキュリティ欠陥が野生で悪用された証拠はありません。
近年、Ivantiのアプライアンスにおけるゼロデイが脅威アクターの雷のような存在となっているため、ユーザーは最適な保護のためにインスタンスを最新バージョンに迅速に更新することが不可欠です。
翻訳元: https://thehackernews.com/2025/05/ivanti-patches-epmm-vulnerabilities.html