パッチ情報
認証不要でリモートからroot権限のRCEを可能にする——これ以上ない深刻さです
セキュリティベンダーのIvantiが自社製品に新たな2件の重大な脆弱性を公表し、Ivantiユーザーにとってまたもパッチ適用の時期が訪れました。
いずれの脆弱性も、統合エンドポイント管理プラットフォームの一部を構成するモバイルゲートウェイ製品「Ivanti Sentry」に影響します。
2件のうち最も深刻なのはCVE-2026-10520(CVSSスコア10.0)で、リモートの未認証攻撃者がroot権限でコードを実行できる最大深刻度の脆弱性です。
認証なしでroot権限のコード実行を許してしまう欠陥は、脆弱性としてこれ以上ない深刻さを持ちます。満点の評価がその重大性を物語っています。
唯一の救いは、ベンダーの見解によれば、現時点ではまだ実際の攻撃への悪用が確認されていないことです。しかし、脆弱性の公開は攻撃者にとってのカウントダウンの始まりとも言えます。IvantiはCVE-2026-10520に関してセキュリティアドバイザリではほとんど詳細を明かしていませんが、他の研究者たちはすでにパッチの解析結果を公表しており、未パッチのシステムへの攻撃手法を示す手がかりが提供されています。
watchTowrによると、この脆弱性はApache Tomcat上で動作する公開APIに起因しています。攻撃者は細工したメッセージをそのAPIに送り込むことができ、そのメッセージがMICS設定コマンドとして解析され、バックエンドのハンドラーによってroot権限で実行されます。
Ivantiはこの問題を、攻撃者が指定した文字列を受け付けないようにし、代わりに単一のハードコードされたコマンドを使用する形に変更することで修正したと見られています。また、影響を受けるエンドポイントへの未認証アクセスをブロックするよう、Apache設定ルールも更新しています。
2件目の重大な脆弱性はCVE-2026-10523として追跡されており、CVSSスコア9.9という最大値に近い深刻度を持ちます。
この認証バイパスの脆弱性を悪用すると、リモートの未認証攻撃者が管理者アカウントを作成し、影響を受けるシステム上で最上位の権限を取得できます。
両方の脆弱性に対して直ちに対処するよう、ユーザーに強く推奨されています。バージョン10.5.2、10.6.2、または10.7.1へのアップグレードで修正可能です。
今週のIvantiによる公表は、1月にEndpoint Manager Mobile(EPMM)に影響する2件の重大な脆弱性を修正した後の出来事です。
それらの脆弱性はいずれもCVSSスコア9.8が付けられており、ゼロデイとして悪用されました。オランダのデータ保護機関でさえ、パッチ公開前の悪用によってシステムが侵害されたとして、自ら議会に報告しています。®
