Ivantiは、実環境で積極的に悪用されているIvanti Endpoint Manager Mobile(EPMM)の2件の重大な脆弱性を修正するためのセキュリティ更新を公開しました。
これらの欠陥により、認証されていない攻撃者が影響を受けるシステム上で任意のコードをリモート実行できるようになります。
脆弱性は「…認証不要のリモートコード実行につながる可能性があります。開示時点で、非常に限られた数のお客様の環境で本ソリューションが悪用されたことを把握しています」と、Ivantiは開示の中で述べています。
Ivanti EPMMの脆弱性の詳細
これらの脆弱性は、Ivanti EPMMを用いてモバイルデバイスを管理している組織にとってリスクとなります。というのも、このプラットフォームはアイデンティティ、ネットワークアクセス、デバイスポリシーの適用において中心的な役割を担っているためです。
侵害に成功した場合、攻撃者は管理者権限の掌握、機微なデバイスデータへのアクセス、そして企業内での横展開の足掛かりを得る可能性があります。
2件の欠陥(CVE-2026-1281およびCVE-2026-1340として追跡)は、重大なコードインジェクション脆弱性です。
いずれの問題も認証不要のリモートコード実行を可能にし、CVSSスコアは9.8です。これは攻撃の複雑性が低く、特権やユーザー操作が不要であることを反映しています。
実際には、攻撃者が公開されているEPMMインスタンスを最小限の労力でリモートから悪用しつつ、高い影響度の結果を得られることを意味します。
Ivantiは、これらの脆弱性がEPMM内の「社内アプリケーション配布」および「Androidファイル転送設定」機能に影響すると説明しました。
攻撃ベクターはネットワーク経由で、認証を必要としないため、脅威アクターはアクセス可能であれば脆弱なアプライアンスを直接狙うことができます。
またIvantiの開示では、過去にEPMMの脆弱性が攻撃された際、攻撃者は侵害したシステム上で永続化を維持するために、Webシェルやリバースシェルを展開することが一般的だったとも指摘しています。
Ivantiは、脆弱性はEPMMに限定されており、Ivanti Endpoint Manager(EPM)、Ivanti Neurons for MDM、Ivanti Sentryを含む同社の他製品には影響しないことを強調しました。
EPMMはデバイス管理とポリシー適用の中核を担っているため、まだ緩和策を適用していない組織では、悪用による潜在的影響は依然として大きいままです。
Ivanti EPMMのリスクを軽減する方法
これらのIvanti EPMM脆弱性が実際に悪用されていることを踏まえ、組織は露出を減らし潜在的影響を抑えるため、直ちに多層的な対策を講じるべきです。
- 適切なIvantiのバージョン別RPM パッチを適用し、EPMMのバージョンアップグレード後には再適用してください。
- EPMMへのアクセスを信頼できるネットワークのみに制限し、ファイアウォールルールとネットワークセグメンテーションにより、インターネットへの直接露出を排除してください。
- 監視として、Apacheのアクセスログおよびシステム活動を悪用の兆候について確認し、異常なHTTP応答や不正な設定変更を含めて検知してください。
- EPMMアプライアンスを高価値の内部システムから隔離し、連携を制限して横展開リスクを低減してください。
- 侵害されたシステムは、既知の正常なバックアップから復元するか、影響を受けたアプライアンスを再構築し、その後に認証情報のリセットと証明書のローテーションを実施してください。
- チームがアプライアンスレベルの侵害を迅速に検知・封じ込め・復旧できるよう、インシデント対応計画を検証し、定期的にテストしてください。
これらの対策は、EPMM導入環境の防御を強化するのに役立ちます。
管理プラットフォームは格好の標的
これらのIvanti EPMMの欠陥が実際に悪用されている事実は、特権的なアクセスと企業環境における中心的役割ゆえに、管理プラットフォームが高価値の標的になっていることを浮き彫りにしています。
攻撃者が最小限の労力で広範な制御を得られる脆弱性に引き続き注目する中、迅速なパッチ適用、ネットワークの強化、そして強固な対応準備が、影響を抑えるうえで不可欠です。
これらのリスクは、組織が暗黙の信頼を最小化し、信頼された管理プラットフォーム内であってもアクセスを制限するゼロトラストモデルを採用している理由を示しています。
