エンタープライズ端末を管理する企業で、認証なしの攻撃者が管理者セッションを乗っ取る可能性
Ivanti は、認証なしで攻撃者が管理者セッションを乗っ取り、潜在的に数千台のエンタープライズデバイスを制御できてしまう Endpoint Manager の重大な脆弱性に対してパッチを適用しました。
同社は、重大な欠陥である CVE-2025-10573 を含む 4 件の脆弱性に対処するため、EPM バージョン 2024 SU4 SR1 をリリースしました。この脆弱性の CVSS スコアは 9.6 です。さらに 3 件の高深刻度の欠陥もコード実行を可能にし得ますが、ユーザーの操作が必要であると、Ivanti は火曜日に公開した 12 月のセキュリティアドバイザリ で述べています。
Ivanti によると、これらの脆弱性は同社の責任ある開示プログラムを通じて報告されたものであり、開示時点では顧客システムが悪用されているという認識はなかったとしています。
EPM が標的となったのは今回が初めてではありません。3 月には、CISA が 3 件の EPM 脆弱性 を、実際の環境での悪用を確認した後に Known Exploited Vulnerabilities カタログへ追加しました。これらの欠陥は、Ivanti に非公開で報告された後、1 月にパッチが適用されていました。
EPM がこれまで攻撃者に狙われてきた経緯と今回の欠陥の深刻さを踏まえると、セキュリティチームはこれを通常のアップデートではなく、「即時パッチ適用」が必要な事案として扱うべきです。
12 月のアップデートでは、ユーザーが信頼されていないコアサーバーに接続したり、信頼されていない構成ファイルをインポートしたりした際に、攻撃者が任意のコードを実行できてしまう CVE-2025-13659 および CVE-2025-13662 も修正されました。さらに別の脆弱性では、サーバー上での不正なファイル書き込みが可能になります。
認証不要の攻撃ベクター
最も深刻な脆弱性は、Rapid7 のスタッフセキュリティリサーチャーである Ryan Emmons 氏が発見し、8 月に Ivanti に報告したストアド型クロスサイトスクリプティングの欠陥です。
火曜日に公開された Rapid7 の 技術的開示 によると、攻撃者は認証なしで EPM の受信データ API に悪意あるデバイススキャンデータを送信できます。この悪意あるデータは処理されて EPM の Web ダッシュボードに埋め込まれ、管理者が該当ページを閲覧した際に実行されます。
「EPM のプライマリ Web サービスに認証なしでアクセスできる攻撃者は、偽の管理対象エンドポイントを EPM サーバーに参加させることで、管理者用 Web ダッシュボードに悪意ある JavaScript を注入できます」と Emmons 氏はレポートに記しています。
一度悪意ある JavaScript が実行されると、攻撃者は管理者セッションを制御できるようになり、エンドポイントをリモート操作したり、デバイスにソフトウェアをインストールしたりする完全な権限を得ます。
Swimlane のリードセキュリティオートメーションアーキテクトである Nick Tausek 氏は、「この欠陥が悪用されれば、脅威アクターは多数の管理対象デバイスへ一度にアクセスできるようになり、悪意あるコードの実行、ランサムウェアの展開、機密データの流出が可能になります」と警告しています。
パッチ適用の課題
このような脅威の深刻さにもかかわらず、組織は重大な脆弱性への迅速な対処に苦慮することが少なくありません。Tausek 氏によると、Swimlane の調査では、68% の組織が重大な欠陥を 24 時間以上パッチ未適用のまま放置しており、55% は脆弱性に優先順位を付けるための包括的な仕組みを持っていないことが分かりました。
この遅延は、昇格された権限で動作し数千台のデバイスを制御するエンドポイント管理システムにとって、特にリスクが高くなります。攻撃が成功すれば、セキュリティコントロールを迂回し、管理対象エンドポイントにマルウェアを配布したり、セキュリティ設定を変更したり、企業全体にわたる永続的なバックドアを確立したりすることが可能になります。
「深刻な悪用キャンペーンが発生し得る可能性を過小評価すべきではありません」と Tausek 氏は述べています。
悪用のパターン
この懸念は机上の空論ではありません。EPM のこれまでの経緯から、迅速なパッチ適用の必要性は一層高まっています。CISA は 3 月に 3 件の EPM 脆弱性(CVE-2024-13159、CVE-2024-13160、CVE-2024-13161)について、実際の悪用を確認した後に Known Exploited Vulnerabilities カタログへ追加しました。同庁は 10 月にも、別の EPM の悪用済み脆弱性(CVE-2024-29824)に警告を出しています。
繰り返し標的となっている事実は、永続的なネットワークアクセスや横方向への移動能力を求める攻撃者にとって、EPM がいかに価値の高い標的であるかを示しています。一度エンドポイント管理インフラが侵害されると、攻撃者は企業全体に急速に拡散することができます。
導入・展開に関するガイダンス
このパッチは Ivanti License System を通じて提供されており、EPM バージョン 2024 SU4 以前に適用されます。2022 ブランチを利用している組織は、同ブランチが 2025 年 10 月にサポート終了となり、その日以降はセキュリティアップデートを受けられなくなる点に注意が必要だと、 Ivanti のアドバイザリ は付け加えています。
セキュリティチームは、特に信頼されていないネットワークからアクセス可能なインストールについて、EPM インスタンスを直ちにバージョン 2024 SU4 SR1 へアップデートすることを優先すべきです。インターネットに直接公開されている EPM インスタンスを持つ組織はリスクが最も高く、24 時間以内のパッチ適用が求められます。
すぐにパッチを適用できない組織に対しては、アドバイザリの中で、EPM 管理インターフェースをパブリックインターネットへ露出させないこと、そして管理サーバーを信頼されていないネットワークから分離する厳格なネットワークセグメンテーションを実装することが推奨されています。
また Tausek 氏は、今回の重大な XSS 脆弱性は、汚染されたダッシュボードページを閲覧することでトリガーされる必要があるため、管理者に対してソーシャルエンジニアリング攻撃を見抜く訓練を行うことも勧めています。
「EPM はしばしば高い権限で動作しているため、それが悪用されればセキュリティコントロールを迂回し、侵害の影響を急速に拡大させるリスクがあります」と Tausek 氏は付け加えました。
