Ivantiは、クラウドおよびオンプレミス環境の両方に影響を及ぼす、Neurons for ITSMプラットフォームにおける高深刻度の不適切なアクセス制御脆弱性CVE-2026-9614を公開しました。
CVSSスコア8.8(高)と評価されたこの脆弱性は、認証済みのリモート攻撃者が管理者レベルまで権限を昇格させることを可能にするもので、ITサービス管理環境全体が侵害されるリスクをはらんでいます。
CVE-2026-9614として追跡されているこの欠陥はCWE-284(不適切なアクセス制御)に分類され、CVSS 3.1ベクターはCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:Hです。
このベクター値の内訳は防御側にとって特に懸念すべき内容です。攻撃はネットワーク経由でアクセス可能であり、低レベルの認証のみを要件とし、ユーザーの操作を一切必要とせず、機密性・完全性・可用性のすべてに高い影響を与えるとIvantiは説明しています。
最小限の権限しか持たない認証済みの攻撃者が、アクセス制御の境界を突破して完全な管理者権限を取得できる状態です。
Ivantiは2026年6月1日に公式セキュリティアドバイザリを公開し、製品のセキュリティ問題を開示する際の「責任ある透明性」というポリシーを改めて示しました。
Ivantiは開示時点で顧客への積極的な悪用は確認されていないと表明していますが、そのリスクを過小評価すべきではありません。Ivanti製品はこれまでも、高度持続的脅威(APT)アクターにとって価値の高い標的であり続けてきました。
2025年初頭には、IvantiのConnect Secureプラットフォームが深刻なスタックベースのバッファオーバーフローであるCVE-2025-0282を通じて積極的に悪用されており、脅威アクターはWebシェルの展開、SELinuxの無効化、検知回避を目的としたログの消去を実行していました。
企業全体のIT資産やサービスワークフローを管理するITSMプラットフォームは、組織インフラとの深い統合により、攻撃者にとって同様に魅力的な標的となっています。
Ivantiが推奨する修正対応策は、デプロイメントの種類によって異なります。
Ivanti Neurons for ITSMをオンプレミスで運用している組織は、現在のバージョンのデプロイメントを監査し、直ちにパッチを適用する必要があります。また、セキュリティチームはITSM環境内での異常な権限変更や、通常とは異なる管理者レベルのAPIコールを監視することも求められます。
CVE-2026-9614の攻撃複雑度の低さと、Ivanti製品が繰り返し標的にされてきた実績を踏まえると、パッチ未適用のインターネット接続インスタンスは、積極的な悪用が確認されていない状況であっても依然として高いリスクにさらされていると言えます。
翻訳元: https://cyberpress.org/ivanti-itsm-vulnerability/
