Ivanti Endpoint Manager (EPM) に存在する重大な保存型クロスサイトスクリプティング(XSS)脆弱性により、認証されていない攻撃者が管理ダッシュボードに悪意ある JavaScript を注入し、管理者セッションを乗っ取ることが可能になります。
この脆弱性は CVE-2025-10573 として識別されており、CVSS スコアは 9.6 です。EPM 2024 SU4 SR1 未満のすべてのバージョンに影響し、数千台のエンドポイントを管理するエンタープライズ環境に対して即時の脅威となります。
脆弱性の概要
エンドポイント管理および脆弱性スキャンのために企業で広く導入されている Ivanti EPM には、攻撃者が悪意あるペイロードで管理者ダッシュボードを汚染できる危険な未認証エントリポイントが存在します。
この脆弱性は、適切な入力検証および出力エンコードを欠いた「/incomingdata」Web API を通じて送信されるデバイススキャンデータの安全でない処理に起因します。
認証情報を持たない攻撃者は、公開されている「postcgi.exe」CGI バイナリに対して、XSS ペイロードを含む細工されたデバイスリクエストを送信できます。
この悪意あるデータは自動的に処理されて EPM データベースに保存されます。管理者がデバイス情報を表示するダッシュボードページにアクセスすると、エンコードされていない XSS ペイロードがブラウザコンテキストで実行され、攻撃者に管理者の認証済みセッションに対する完全な制御権を与えます。
これは、従来の認証制御を迂回し、組織内で最も権限の高いユーザー、すなわちシステム管理およびセキュリティ管理を担う担当者を直接標的とする、特に危険な攻撃ベクターです。
この攻撃は、Ivanti EPM におけるデバイススキャン処理パイプラインを悪用します。脆弱な「incomingdata」API は、サニタイズを行わずに、単純な key=value 形式のデバイススキャンデータを受け付けます。
攻撃者は、デバイス ID、表示名、デバイス名、OS 名といったフィールド内に JavaScript コードを注入します。
悪意あるスキャンファイルが書き込まれて処理されると、これらのフィールドは管理者ダッシュボードの DOM に安全でない形で反映され、任意コード実行が引き起こされます。
この脆弱性は Ivanti EPM 11.0.6 および EPM 2024 SU4 未満のバージョンに影響します。攻撃が未認証で行える点は特に懸念されます。悪用を開始するのに有効な認証情報や事前のシステムアクセスは不要であり、攻撃者に必要なのは EPM Web サービスへのネットワーク接続だけです。
Ivanti は 2025 年 12 月 9 日に CVE-2025-10573 に対処した EPM 2024 SU4 SR1 をリリースしました。
影響を受けるバージョンを使用している組織は、この脆弱性の重大性と、侵害された管理者アカウントの高い権限レベルを踏まえ、直ちにアップグレードを最優先すべきです。
Rapid7 は 2025 年 12 月 9 日に、Exposure Command、InsightVM、Nexpose を通じて本脆弱性に対する認証済みチェックを提供し、組織が自社環境内の脆弱なインスタンスを特定できるようにします。
この脆弱性は、Rapid7 のスタッフセキュリティリサーチャーである Ryan Emmons 氏が Ivanti EPM のセキュリティ調査中に発見・報告しました。
開示は Rapid7 の責任ある脆弱性開示ポリシーに従って行われ、迅速なパッチ提供と顧客保護を確保するため、Rapid7 と Ivanti セキュリティチームの間で緊密な連携が取られました。
Ivanti はこの脆弱性の重大性を認識し、責任ある開示における Rapid7 の協調的な取り組みに謝意を示すとともに、自社のセキュリティへの取り組みと、脅威の特定におけるセキュリティ研究コミュニティの重要な役割を強調しました。
Ivanti EPM を運用している組織は、この脆弱性をクリティカルとして扱い、直ちにパッチを適用する必要があります。
この攻撃は認証を必要とせず、システム全体の権限を持つ管理者アカウントを標的とするため、侵害された場合の被害は特に深刻です。
さらに、パッチが展開されるまでの一時的な緩和策として、EPM Web インターフェースへのアクセスを制限するネットワークセグメンテーションの実装や、不審なデバイススキャン送信の監視を行うことが有効です。
翻訳元: https://gbhackers.com/ivanti-epm/
