このコードインジェクションの欠陥により、Ivanti Endpoint Manager Mobile の導入環境で認証不要のリモートコード実行が可能になるほか、接続されている Ivanti Sentry のモバイルトラフィックゲートウェイも危険にさらされる。
ITソフトウェア企業の Ivanti は、同社の Endpoint Manager Mobile(EPMM)製品に対し、すでに実環境で攻撃を受けている2件の新たなリモートコード実行の脆弱性を修正するパッチを公開した。
同社は、これらの新たな欠陥を CVE-2026-1281 および CVE-2026-1340 と特定する セキュリティアドバイザリ の中で、「開示時点で、ソリューションが悪用された顧客はごく限られた数であることを把握している」と述べた。
両問題はいずれも Ivanti によりコードインジェクションの問題として説明されており、認証なしで悪用可能で、CVSS 深刻度スケールで 10 点中 9.8 と評価されている。欠陥は EPMM の「In-House Application Distribution(社内アプリ配布)」および「Android File Transfer Configuration(Android ファイル転送設定)」機能に関係する。
単体パッチとエクスプロイトの詳細が公開
Ivanti は EPMM の新しい完全修正版をリリースしたのではなく、バージョン別の単体パッチを公開しており、手動で適用する必要がある。パッチは rpm ファイルとして提供され、install rpm url [patch_url] コマンドでインストールできる。
RPM_12.x.0.x パッチは、EPMM ソフトウェアの 12.5.0.x、12.6.0.x、12.7.0.x に適用できる。また、旧バージョンの 12.3.0.x および 12.4.0.x とも互換性がある。一方、RPM_12.x.1.x パッチは 12.5.1.0 および 12.6.1.0 に適用できる。
同社は「RPM スクリプトはバージョンアップグレード後に維持されない」と警告している。「アプライアンスに RPM スクリプトを適用した後、新しいバージョンへアップグレードした場合は RPM を再インストールする必要がある。この脆弱性に対する恒久的な修正は次回の製品リリース(12.8.0.0)に含まれる予定だ。」
モバイル端末とバックエンドの企業システム間のトラフィックを保護する Ivanti Sentry ゲートウェイ製品は、これらの脆弱性の直接の影響は受けない。しかし、EPMM アプライアンスは Sentry ゲートウェイ上でコマンド実行権限を持つ。そのため、EPMM の導入環境が侵害されている場合、攻撃者が Ivanti Sentry も侵害している可能性がある。
ペネトレーションテスト企業 WatchTowr の研究者はパッチをリバースエンジニアリングし、脆弱性の所在と悪用方法を突き止めた。詳細な解説は同社ブログの 詳細記事 で公開されている。
Ivanti は、これらの脆弱性を通じた侵害の可能性について EPMM アプライアンスをスキャンする方法のガイダンスをまとめた 別文書 も公開した。まず、/var/log/httpd/https-access_log にある Apache Access Log に、これらの脆弱性の試行または成功した実行の痕跡が残っている可能性がある。
同社は、^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404 の正規表現でログをトリアージし、HTTP 404 エラーのレスポンスコード、および bash コマンドを含むパラメータ付きの GET リクエストを探すよう助言している。
同社は「最も一般的なのは、Web シェル機能を導入するために悪意のあるファイルを追加したり改変したりすることだ」と述べた。「Ivanti は、これらの変更が 401.jsp などの HTTP エラーページを標的にするケースを頻繁に確認している。これらのページに対する POST メソッドのリクエスト、またはパラメータ付きのリクエストは、非常に疑わしいものとして扱うべきだ。ディスクのフォレンジック調査を行うアナリストは、想定外の WAR または JAR ファイルがシステムに持ち込まれていないかも確認すべきである。」
注意すべき点として、攻撃者は痕跡を隠すためにログを定期的に削除することがあり、高負荷のシステムではログが1日に複数回ローテーションされる可能性がある。そのため顧客には、Data Export 機能を使用して EPMM アプライアンスから SIEM システムやその他のログ集約基盤へログを転送することが強く推奨されている。
影響を受けている可能性があると疑われるアプライアンスについて、Ivanti は次の点を確認するよう推奨している:
- 新規または最近変更された管理者がいないか、EPMM 管理者を確認する
- SSO および LDAP 設定を含む認証設定
- モバイル端末向けに新たにプッシュされたアプリケーション
- 社内アプリを含め、端末へプッシュするアプリケーションの設定変更
- 新規または最近変更されたポリシー
- モバイル端末へプッシュするネットワーク設定または VPN 設定を含む、ネットワーク設定の変更
侵害された EPMM アプライアンスをクリーンなバックアップから復元した後、顧客はローカルの EPMM アカウントのパスワードをリセットし、照会に使用している LDAP および/または KDC のサービスアカウントのパスワードをリセットし、EPMM 導入環境で使用している公開証明書を失効・置換し、さらに EPMM ソリューション上で設定されているその他の内部/外部サービスアカウントのパスワードもリセットすべきである。
EPMM は Sentry 上でコマンド実行が可能であり、Sentry はモバイル端末から内部ネットワークシステムへのトラフィックを中継する製品であるため、Sentry がアクセス可能なシステムについても侵害の兆候がないか確認すべきである。
