コンテンツにスキップするには Enter キーを押してください

Ivanti EPMMのゼロデイ脆弱性が連鎖攻撃で悪用される

投稿日 2025年5月15日

建物の外にあるIvantiのロゴ

出典: Kristoffer Tripplaar via Alamy Stock Photo

Ivantiは、脅威アクターがリモートコード実行(RCE)攻撃のために連鎖させた、Endpoint Manager Mobile製品における2つのゼロデイ脆弱性を開示しました。

5月13日に公開されたセキュリティアドバイザリで、IvantiはEndpoint Manager Mobile(EPMM)の中程度の深刻度の認証バイパスの欠陥であるCVE-2025-4427と、EPMMの高深刻度のRCE脆弱性であるCVE-2025-4428を詳述しました。

「これらを連鎖させると、認証されていないリモートコード実行が成功する可能性があります」とアドバイザリは述べています。「開示時点で、解決策が悪用された非常に限られた数のお客様がいることを認識しています。」

Ivantiは、脆弱性の発見をCERT-EUに感謝しました。

TenableのリサーチエンジニアであるBen Smithは、ブログ投稿で、CVE-2025-4427の悪用により、通常は認証されたユーザーのみがアクセスできるEPMMサーバーのAPIに脅威アクターがアクセスできる可能性があると述べました。Smithは、現在、どちらのCVEにも公開されている概念実証(PoC)エクスプロイトがないことも付け加えました。

Ivantiはセキュリティアドバイザリで、EPMMインスタンスを修正済みバージョンのいずれか(11.12.0.5、12.3.0.2、12.4.0.2、または12.5.0.1)にアップグレードするよう顧客に促しました。同社はまた、Ivantiの組み込みポータルACL機能またはサードパーティのWebアプリケーションファイアウォールを使用してAPIへのアクセスをフィルタリングすることで、悪用の試みを軽減できると述べました。

関連:NSOグループの法的敗北はスパイウェアを抑制するには不十分かもしれない

しかし、Ivantiは、この軽減策は効果的であるものの、EPMMサーバーの特定の構成によっては機能に影響を与える可能性があると警告しました。「特に、IPの特定や変更が難しい統合が影響を受けるでしょう。」

これには以下が含まれます:

  • Autopilotを使用したWindowsデバイスの登録

  • MicrosoftデバイスコンプライアンスおよびGraph APIの統合

オープンソースライブラリに関連する脆弱性

CVE-2025-4427およびCVE-2025-4428に対するゼロデイ攻撃は、近年さまざまなサイバー攻撃者、特に中国の国家的脅威グループに人気のあるIvanti脆弱性を標的とする最新の脅威を示しています。

例えば、2024年1月には、IvantiのConnect Secure VPN製品における2つのゼロデイ欠陥が、MandiantがUNC5221として追跡している中国の脅威グループによって攻撃されました。これらのゼロデイは、脅威アクターが昨年のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の2つの内部システムを侵害するために使用されました。

最近では、いくつかのIvanti製品における別のゼロデイ脆弱性が、MandiantがUNC5221の一部と疑っているUNC5337として追跡している別の中国のグループによって悪用されました。この脆弱性は、CVE-2025-0282としてリストされ、Ivanti Connect Secure、Policy Secure、およびNeurons for ZTAゲートウェイに影響を与えました。

関連:攻撃者が偽の生成AIツールに「Noodlophile」マルウェアを仕込む

しかし、Ivantiは5月13日のアドバイザリで、CVE-2025-4427およびCVE-2025-4428がIvantiの内部コードではなく、2つのオープンソースソフトウェアライブラリに起因していると述べました。同社はオープンソースライブラリの名前を明かしていませんが、プロジェクトのメンテナーと「協力」していると述べました。

「Ivantiはオープンソースコードを責任を持って使用することにコミットしています。これを行う方法の1つは、エンタープライズグレードのソフトウェア構成分析ツールとSBOM(ソフトウェア部品表)を使用して、使用しているライブラリの潜在的な問題を特定することです」とIvantiはアドバイザリのFAQで述べています。「開示時点で、オープンソースライブラリのセキュリティ問題に対してライブラリのメンテナーによってCVEは予約されていません。私たちは、より広範なセキュリティエコシステムの利益のために、ライブラリに対するCVEが必要かどうかを判断するために、セキュリティパートナーおよびライブラリのメンテナーと積極的に協力しています。」

Dark ReadingはオープンソースライブラリについてIvantiに連絡しましたが、同社はこれ以上のコメントを控えました。

翻訳元: https://www.darkreading.com/endpoint-security/ivanti-epmm-zero-day-flaws-exploited

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です