米国のITソフトウェア企業であるIvantiは本日、攻撃者にリモートでコードを実行される可能性のある、新たに公開されたEndpoint Manager(EPM)ソリューションの脆弱性に対してパッチを適用するよう、顧客に警告しました。
Ivantiは、世界中の7,000を超える組織から成るネットワークを通じて、40,000社以上にシステムおよびIT資産管理ソリューションを提供しています。同社のEPMソフトウェアは、Windows、macOS、Linux、Chrome OS、IoTなどの主要プラットフォームにわたるクライアントデバイスを管理するための、オールインワンのエンドポイント管理ツールです。
CVE-2025-10573として追跡されているこの重大なセキュリティ欠陥は、リモートの未認証の脅威アクターによって悪用されると、ユーザーの操作を必要とする、低難度のクロスサイトスクリプティング攻撃を通じて任意のJavaScriptコードを実行される可能性があります。
「認証されていない状態でプライマリEPM Webサービスにアクセスできる攻撃者は、偽の管理対象エンドポイントをEPMサーバーに参加させることで、管理者用Webダッシュボードに悪意あるJavaScriptを注入(ポイズニング)できます」と、この脆弱性を8月に報告したRapid7のスタッフセキュリティリサーチャー、Ryan Emmons氏は説明しています。
「Ivanti EPM管理者が通常の利用中に、ポイズニングされたダッシュボードインターフェースの1つを閲覧すると、その受動的なユーザー操作によってクライアント側のJavaScriptが実行され、攻撃者が管理者セッションを制御できるようになります。」
Ivantiはこの問題に対処するため、EPM 2024 SU4 SR1をリリースし、Ivanti EPMソリューションは本来インターネット上に公開されることを想定していないため、この脆弱性のリスクは大幅に軽減されるはずだと述べています。
しかし、脅威監視プラットフォームであるShadowserverは現在、インターネットに直接公開されている数百のIvanti EPMインスタンスを追跡しており、その大半は米国(569)、ドイツ(109)、日本(104)に存在します。
本日、Ivantiは3件の高深刻度の脆弱性に対処するセキュリティアップデートもリリースしました。このうち2件(CVE-2025-13659およびCVE-2025-13662)は、未パッチのシステムに対して、未認証の攻撃者が任意コードを実行できる可能性があります。
幸いなことに、これらの悪用が成功するには、ユーザーの操作に加え、標的が信頼されていないコアサーバーに接続するか、信頼されていない設定ファイルをインポートする必要があります。
「これらの脆弱性が公開される前に、お客様が実際に悪用されたという事例は把握していません。これらの脆弱性は、当社の責任ある開示プログラムを通じて報告されました」とIvantiは述べています。
Ivantiはまだ攻撃での悪用の証拠を発見していないものの、Ivanti EPMのセキュリティ欠陥はしばしば脅威アクターの標的となっています。
今年3月には、CISAがEPMアプライアンスに影響する3件の重大な脆弱性(CVE-2024-13159、CVE-2024-13160、CVE-2024-13161)を攻撃で悪用されているとして指定し、米連邦機関に対し3週間以内にネットワークを保護するよう警告しました。
米国のサイバーセキュリティ機関は2024年10月、別のアクティブに悪用されているEPMの脆弱性(CVE-2024-29824)にパッチを適用するよう政府機関に命じました。
