watchTowrの調査により、これらのゼロデイ脆弱性が実際に悪用されていることが明らかになりました。今すぐ緊急RPMパッチを適用してください。
サイバーセキュリティ研究者は、大企業が従業員の携帯電話を管理するために使用しているツールに関わる重大なセキュリティ危機について警告しています。このソフトウェアはIvanti Endpoint Manager Mobile(EPMM)として知られ、企業がiPhoneやAndroid端末上の社用メールやアプリを制御するための中枢となるハブです。
この特定のソフトウェアがハッカーの標的となったのは今回が初めてではありません。2025年5月、Hackread.comは報じたように、攻撃者がシステムを掌握するために悪用していた別の2つの欠陥(CVE-2025-4427およびCVE-2025-4428)について伝えました。そして2026年1月、さらに危険な新たな脆弱性セットが出現しました。
2026年の脆弱性の内訳
2026年1月29日、IvantiはCVE-2026-1281およびCVE-2026-1340として追跡されている2つの重大なコードインジェクション欠陥について、緊急アドバイザリを公開しました。これらのバグはリモートコード実行を可能にするため特に危険で、つまりハッカーはパスワードを必要とせず、世界中どこからでもシステムを完全に制御できるということです。
両方の欠陥はCWE-94に分類されており、これは「コードインジェクション」の問題を指します。また、脆弱性の深刻度スコアは10点満点中9.8というほぼ満点に近い評価を受けており、ITチームにとってパッチ適用が最優先事項となっています。
欠陥がどのように機能するか
問題は、ソフトウェアが「In-House Application Distribution(社内アプリ配布)」および「Android File Transfer(Androidファイル転送)」のタスクを処理する方法に見つかりました。セキュリティテスト企業watchTowrが独自に調査を行い、その結果をHackread.comと共有したことで、意外な根本原因が明らかになりました。
watchTowrのブログ投稿によると、システムはWebリクエストを処理するために単純な「Bash」スクリプト(基本的なコマンドの一覧)に依存していました。watchTowrの調査では、攻撃者が特別に細工したリクエストを送ることで、これらのスクリプトを「だまして」悪意あるコードを実行させられる可能性があるとされています。
watchTowrのCEOであるBenjamin Harris氏はHackread.comに対し、これらの欠陥は「最悪中の最悪」だと語りました。さらに、ハッカーはすでにこれらの隙をゼロデイとして利用し、システムに侵入してデジタルのバックドアを設置していると指摘しました
注意点のある暫定的な修正
Ivanti は修正を提供していますが、恒久的な解決策ではありません。というのも、現在の修正はRPMパッチと呼ばれる一時的なスクリプトだからです。問題は、管理者が後日ソフトウェアを新しいバージョンに更新すると、このセキュリティ修正が消えてしまい、再インストールが必要になる点です。watchTowrチームは、単にパッチを当てるだけでは十分でない場合があると示唆しています。
「開示時点でインターネットに対して脆弱なインスタンスを公開している組織は、侵害されたものと考えなければならない」とHarris氏は警告しました。
Ivantiのセキュリティアドバイザリによると、恒久的な更新であるバージョン12.8.0.0は2026年第1四半期の後半に提供される見込みです。それまでの間、バージョン12.7.0.0以前を使用している企業は、暫定パッチを直ちに適用するよう強く求められています。
「IvantiはEndpoint Manager Mobile(EPMM)向けに、重大な深刻度の脆弱性2件に対処する更新をリリースしました。悪用に成功すると、認証なしのリモートコード実行につながる可能性があります。開示時点で、ごく限られた数の顧客においてソリューションが悪用されたことを把握しています」とIvantiのアドバイザリは確認しています。
ユーザーは何をすべきか?
これらの脆弱性は、ソフトウェアの「オンプレミス」版、すなわち企業自身のサーバーにインストールされる版にのみ影響し、Ivantiのクラウドサービスには影響しない点に注意が必要です。watchTowrの研究者は、ハッカーが痕跡を隠すためにすでにログを消去している可能性があると疑っています。このため、影響を受ける企業は、侵入者の隠れたアクセスが残っていないことを確実にするため、システムをゼロから再構築することを検討するよう推奨されています。
「1月は妙に静かだと思っていましたが、以前のゼロデイ騒動の中心だったIvantiのEPMMソリューションが、再び現実世界で、能力が高く潤沢なリソースを持つと思われる脅威アクターによって悪用されています」とBenjamin氏は述べました。
「Ivantiからパッチは提供されていますが、パッチ適用だけでは不十分です。脅威アクターはこれらの脆弱性をゼロデイとして悪用してきており、開示時点でインターネットに対して脆弱なインスタンスを公開している組織は、侵害されたものと見なし、インフラを撤去し、インシデント対応プロセスを開始しなければなりません。」
「watchTowrのクライアント基盤全体で、高価値な業界や標的の幅広い範囲に影響が見られています。これは訓練ではなく、残念ながら私たち全員が完全に予想していた1月の騒動です」と彼は付け加えました。
翻訳元: https://hackread.com/ivanti-urgent-fix-critical-zero-day-vulnerabilities/
