TokyoBlackHatNews

csoonline.com 5分で読了

IvantiのEPMシステムが攻撃に対して脆弱

IvantiのEndpoint Managerに存在する重大なセキュリティホールにより、攻撃者は企業内の管理者セッションを乗っ取ることができます。パッチはすでに提供されています。

Image
IvantiのEPMシステムには深刻なセキュリティホールが発見されており、企業はできるだけ早くパッチを適用すべきだ。

ImageFlow – shutterstock.com

Ivantiは最近、自社のEPMシステムにおいて、認証なしで管理者セッションを許可してしまう重大な不具合を報告しました。これにより、攻撃者は数千台規模の企業デバイスを制御できる可能性があります。

ソフトウェアベンダーは、複数の脆弱性を修正するためにEPMバージョン2024 SU4 SR1を公開しました。その中には、識別子CVE-2025-10573で追跡されるクリティカルな脆弱性も含まれており、CVSSスコアは9.6です。

その他の脆弱性

このアップデートでは、攻撃者が任意コードを実行できる2つの脆弱性(CVE-2025-13659およびCVE-2025-13662)も修正されています。さらに、サーバー上で不正にファイルを書き込めてしまう脆弱性も解消されます。

Ivantiはセキュリティアドバイザリの中で、公開時点では顧客システムが悪用された事例は確認されていないと強調しています。

過去にもEPMシステムは攻撃の標的となってきました。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は3月に、3件のEPM脆弱性CVE-2024-13159CVE-2024-13160CVE-2024-13161)について、悪用が確認されたことを受けて既知の悪用済み脆弱性カタログに追加しました。10月には、同庁はさらに別のEPMの悪用済みセキュリティホール(CVE-2024-29824)を報告しています。

繰り返される攻撃は、EPMがサイバー犯罪者にとっていかに価値が高いかを示しています。攻撃者はこれにより、ネットワークへの恒常的なアクセスと横移動の手段を得ます。一度エンドポイント管理インフラを侵害されると、攻撃者は企業全体に素早く拡散することが可能になります。

認証不要の攻撃ベクター

今回のIvanti EPMシステムにおけるセキュリティ問題は、クロスサイトスクリプティング(XSS)の脆弱性です。当初、Rapid7のセキュリティ研究者であるRyan Emmons氏によって発見され、8月にIvantiへ報告されました。

Rapid7が最近公開した開示レポートによると、攻撃者は認証なしで悪意あるデバイススキャンデータをEPMの受信データAPIに送信できます。悪意あるデータは処理され、EPMのWebダッシュボードに埋め込まれます。管理者が該当ページを閲覧すると、そのデータが実行される可能性があります。

「認証されていないアクセス権を持つ攻撃者は、偽の管理対象エンドポイントをEPMサーバーに接続し、管理者用Webダッシュボードに悪意あるJavaScriptを感染させることができます」とEmmons氏は説明しています。

一度悪意あるJavaScriptが実行されると、攻撃者は管理者セッションを完全な権限付きで掌握し、エンドポイントをリモート操作したり、デバイスにソフトウェアをインストールしたりできるようになります。

これを踏まえ、SwimlaneのセキュリティスペシャリストであるNick Tausek氏は次のように警告しています。「この脆弱性が悪用されれば、攻撃者は多数の管理対象デバイスへ同時にアクセスできるようになり、悪意あるコードの実行、ランサムウェアの展開、機密データの流出が可能になります。」

パッチ適用の難しさ

このような脅威の緊急性にもかかわらず、企業はしばしばクリティカルな脆弱性を迅速に修正することに苦慮しています。Swimlaneの調査によると、68%の企業が重大な脆弱性を24時間以上パッチ未適用のまま放置しており、さらに55%の企業は脆弱性の優先順位付けを行う包括的なシステムを持っていません。

こうした遅れは、昇格された権限で動作し数千台のデバイスを制御するエンドポイント管理システムにとって特に危険です。攻撃が成功すれば、セキュリティコントロールを回避し、管理対象エンドポイントにマルウェアを配布したり、セキュリティ設定を変更したり、企業全体に恒久的なバックドアを設置したりすることが可能になります。

「深刻な攻撃キャンペーンに発展しうる可能性を過小評価すべきではありません」とTausek氏は警鐘を鳴らしています。

パッチ適用の手順

パッチはIvanti License Systemを通じて提供されており、EPMバージョン2024 SU4およびそれ以前のバージョンが対象です。2022バージョンを使用している企業は、このバージョンが2025年10月にサポート終了となり、今後セキュリティアップデートを受け取れないことに注意すべきだとIvantiは付け加えています。

セキュリティチームは、特に信頼されていないネットワークからアクセス可能なインスタンスについて、EPMを2024 SU4 SR1へ更新する作業を直ちに優先すべきです。パッチは24時間以内に適用することが推奨されます。

すぐにパッチを適用できない企業に対してIvantiは、EPMの管理インターフェースをパブリックインターネットに公開しないようにし、厳格なネットワークセグメンテーションを実装することを推奨しています。

さらにSwimlaneのTausek氏は、クリティカルなXSS脆弱性は改ざんされたダッシュボードページを閲覧したときにのみトリガーされるため、ソーシャルエンジニアリング攻撃を見抜けるよう管理者を教育することも勧めています。

「EPMはしばしば高い権限で実行されるため、ひとたび悪用されればセキュリティコントロールが迂回され、セキュリティ侵害の影響が急速に拡大する危険があります」と同氏は付け加えました。(jm)

翻訳元: https://www.csoonline.com/article/4104812/ivantis-epm-systeme-anfallig-fur-angriffe.html

ソース: csoonline.com
#CISA #Cross-Site-Scripting #CVE-2025-10573 #Cyberangriffe #Endpoint-Management #Ivanti EPM #Patch-Management #Rapid7 #Sicherheitslücke #Unternehmenssicherheit

関連記事

Cursorの重大なバグが通常のGitをRCEに変える可能性

エンタープライズSaaSにおけるRAGパイプラインのセキュリティ確保

AiTM攻撃を阻止する:認証成功後に実際に機能する防御