Ivantiは、すでに悪用されている同社のEndpoint Manager Mobile(EPMM)製品における重大なゼロデイ脆弱性2件を修正し、企業向けITベンダーにとって陰鬱な1月のセキュリティインシデントの連鎖を継続させた。
2025年1月には、数万件に対してFortinetのゼロデイのパッチ適用が呼びかけられ、Ivantiの顧客も同様に対応していた。今年も状況はほとんど変わらず、Fortinetが複数のシングルサインオン(SSO)の欠陥を修正する一方で、Ivantiはまたしても別のゼロデイ2件の修正を提供している。
CVE-2026-1281およびCVE-2026-1340として追跡されているこれら2つのバグはいずれもIvanti Endpoint Manager Mobile(EPMM)に影響する。また、どちらもCVSSスコアがほぼ最大の9.8と評価され、認証不要のリモートコード実行(RCE)を可能にする――最悪級と言ってよい。
同社はアドバイザリで次のように述べた。「開示時点で、非常に限られた数の顧客において、ソリューションが悪用されたことを把握しています。
「この脆弱性は、Ivanti Neurons for MDMのようなクラウド製品を含め、他のIvanti製品には影響しません。Ivanti Endpoint Manager(EPM)は別製品であり、これらの脆弱性の影響も受けません。Sentryを利用してIvantiのクラウド製品を使用している顧客も、この脆弱性の影響を受けません。」
こうしたRCEバグは、さまざまな厄介事につながり得る。組織ネットワーク内でのラテラルムーブメント、設定変更、攻撃者が自らを管理者にすることなどが可能だ。ベンダーは、特定のデータへのアクセスも許す可能性があると警告した。
Ivantiによれば、取得可能な情報の種類には、EPMM管理者およびデバイスユーザーに関する基本的な個人情報のほか、電話番号やGPS位置情報といったモバイルデバイスに関する情報が含まれ得るという。
侵害の痕跡(IOC)を探している人は運がない。Ivantiは、把握している影響顧客数が少ないため、信頼できるIOCを持っていない。
ただし、潜在的な悪用を検知する方法に関するより一般的な情報を含む技術分析ページは用意している。
脅威ハンターにとって、Apacheのアクセスログは出発点として適している。具体的には、In-House Application DistributionとAndroid File Transfer Configurationの各機能を確認すべきだ。正当なトラフィックはHTTPレスポンスコード200につながる一方、悪用の可能性がある活動では404になる場合がある。
「bashコマンドを含むパラメータ付きのこれらのGETリクエスト、およびその他のGETリクエストを確認することを推奨します」とIvantiは述べた。
近年の記憶において、EPMMがRCEバグの被害を受けたのはこれが初めてではなく、過去の分析では攻撃者が2つの一般的な永続化手法を用いる傾向が示されている。多くの場合、Webシェルの導入または改変であり、典型的には401.jspのようなエラーページを標的にするという。
「これらのページへのPOSTメソッドによるリクエスト、またはパラメータ付きのリクエストは、非常に疑わしいものとして扱うべきです。」
Ivantiはまた、予期しないWARまたはJARファイルがシステムに持ち込まれていないか防御側に注意を促した。これは攻撃者がリバースシェル接続を展開している兆候である可能性があるためだ。
EPMMは通常、外向きのネットワーク接続を行わないため、ファイアウォールログでその兆候が見られた場合は調査すべきサインとして扱うべきだ。
顧客が侵害の兆候を見つけた場合、Ivantiは、システムのクリーンアップを試みるのではなくバックアップから復元し、その後、該当する最新バージョンへアップグレードするのが最善だと述べた。
あるいは、バックアップによる復旧が選択肢にならない場合、Ivantiは代替のEPMMデバイスを構築し、そこへデータを移行することを提案している。
watchTowrのCEOであるBenjamin Harris氏は、EPMMを稼働させている同社顧客の「幅広い層」が高価値産業に属していると述べ、他者にも迅速な対応を促した。
同氏は次のように語った。「1月は静かすぎると思っていました。過去のゼロデイ騒動の中心にあったIvantiのEPMMソリューションが、再び、能力が高く十分なリソースを持つと思われる脅威アクターによって、実環境で悪用されています。
「CVE-2026-1281およびCVE-2026-1340――IvantiのEndpoint Manager Mobile(EPMM)における認証不要のRCE脆弱性――は最悪中の最悪であり、脅威アクターが積極的にシステムを侵害し、バックドアを展開しています。
「Ivantiからパッチは提供されていますが、パッチ適用だけでは不十分です。脅威アクターはこれらの脆弱性をゼロデイとして悪用してきており、開示時点でインターネットに脆弱なインスタンスを公開している組織は、侵害されたものと見なし、インフラをいったん破棄して、インシデント対応プロセスを開始しなければなりません。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/30/ivanti_epmm_zero_days/
