Ivantiは、Ivanti Neurons for ITSMプラットフォームに存在する深刻度の高い脆弱性にパッチを適用しました。この脆弱性を悪用されると、認証済みの攻撃者が権限を昇格し、影響を受けるシステムへの完全な管理者アクセスを取得できる可能性があります。
CVE-2026-9614として追跡されるこの脆弱性は、不適切なアクセス制御の問題(CWE-284)に分類され、CVSSスコアは8.8です。クラウドおよびオンプレミス環境の双方に影響するため、重要なIT運用管理にIvanti ITSMを利用している企業にとって特に注意が必要な問題となっています。
アドバイザリによると、この問題により、低権限の認証済みアクセスを持つリモート攻撃者が、ユーザーの操作を必要とせずに権限を昇格できるとされています。
Ivanti ITSMの脆弱性
この脆弱性は、アプリケーション内の認可チェックが不十分であることに起因しており、攻撃者がロールベースのアクセス制御を回避できてしまいます。
CVSSベクター CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H が示すとおり、攻撃の複雑さは低く、ユーザーの操作も不要であるため、外部に公開された環境では悪用される可能性がさらに高まります。
悪用に成功した場合、攻撃者は管理者権限を掌握し、機密性の高い設定データへのアクセス、ワークフローの改ざん、さらには企業システム内での横方向への侵害拡大が可能になります。
Ivantiが確認したところ、この脆弱性はIvanti Neurons for ITSMのオンプレミス版2025.4以前およびクラウド版2026.1以前に影響します。対応策として、オンプレミス版向けには2025.4 Patch 1、2025.3 Patch 1、2025.2 Patch 1のパッチが提供されています。
クラウドを利用している顧客については、2026.1 Patch 9および2026.2 Patch 1のサービスアップデートによって既に修正が施されており、2026年5月24日から25日にかけて自動的に適用されています。
Ivantiは開示時点において積極的な悪用の証拠はないと述べていますが、悪用の容易さと潜在的な影響の大きさから、高いリスクをはらんでいます。脅威アクターは、企業環境への永続的なアクセスと制御を確保するために、IT管理プラットフォームを標的にするケースが少なくありません。
オンプレミス環境を使用している組織は、最新パッチの速やかな適用、ITSMインターフェースへのアクセス制限、不審なアクティビティのログ監視、そして潜在的な悪用を早期に検出するための特権アカウントの利用状況の監査を早急に実施することが強く推奨されます。
ITSMプラットフォームが企業インフラにおいて果たす重要な役割を考えると、CVE-2026-9614のような脆弱性は、権限昇格攻撃を防ぎセキュリティの完全性を維持するうえで、迅速なパッチ適用と継続的な監視がいかに不可欠であるかを改めて示しています。
翻訳元: https://gbhackers.com/ivanti-itsm-flaw/
