主要な政府機関を含むIvantiの顧客は、ベンダーが先週、すでに実際の攻撃が発生した後に公表した2つの脆弱性を悪用するため、攻撃者が標的範囲を拡大する中で、圧力が高まっている。
オランダのデータ保護当局(Dutch Data Protection Authority)と司法評議会(Council for the Judiciary)は、Ivanti Endpoint Manager Mobile(EPMM)のゼロデイ脆弱性に関連する攻撃の影響を両機関が受けたことを確認した。金曜日に同国議会へ送付された通知による。欧州委員会も、「モバイル端末を管理する中央インフラ」に対するサイバー攻撃の証拠を見つけたと述べたが、木曜日の声明ではベンダー名を明らかにしなかった。
研究者や脅威ハンターが影響の評価に奔走し、Ivantiの欠陥に関連する一貫した攻撃の波を観測する中で、攻撃は公に明らかになった。月曜午後の時点で、非営利団体のCEOであるPiotr Kijewski氏はCyberScoopに対し、悪用の痕跡に基づき、Shadowserverのスキャンで侵害されたインスタンスが86件特定されたと述べた。
研究者は先週、Ivantiのゼロデイを伴う攻撃が拡大すると警告しており、ベンダーの公表と第三者によるエクスプロイトコード公開に続いて見られる典型的なパターンを繰り返している。脆弱性はCVE-2026-1281とCVE-2026-1340で、いずれもCVSSスコアは9.8。Ivanti EPMMにおいて、認証されていないユーザーがリモートでコードを実行できる。
Ivantiは、1月29日のセキュリティアドバイザリで欠陥を公表する前に悪用されたのは「ごく限られた数の顧客」だと述べたが、被害者数の最新情報を提供するよう求める複数の要請を拒んでいる。
同社は金曜日、顧客が潜在的な影響を調査できるよう、侵害の指標(IOC)と検知スクリプトを公開し、スクリプト開発への貢献についてオランダの国家サイバーセキュリティセンターに謝意を示した。Ivantiの広報担当者は声明で「当社は顧客ならびに信頼できる政府・セキュリティパートナーと緊密に連携している」と述べた。
さまざまな目的や出自を持つ攻撃者が、追加のIvanti EPMMインスタンスを引き続き侵害しているとKijewski氏は述べた。Shadowserverは、サウジアラビアの国家サイバーセキュリティ当局が提供した初期の痕跡を用いて、ウェブシェルやその他の悪用の兆候(システムコマンドを含む)をスキャンしている。
「これらの痕跡は、脆弱性を狙った当初の脅威アクターとは結び付かない可能性が高い。しかし、これらのインスタンスは現時点までに複数のアクターによって侵害された可能性が高い」とKijewski氏は述べた。「私たちが観測できる以上のことが起きている」
Shadowserverによれば、Ivanti EPMMの約1,300インスタンスが依然としてインターネットに露出しているが、そのうちどれだけが脆弱であるのか、あるいはすでに侵害されているのかは不明だ。
脆弱性を追跡してきた他の研究者も、潜在的な被害者を狙った悪意ある活動の増加を示す証拠を見つけている。
Rapid7のIvanti EPMMハニーポットは24時間の間に、「130を超えるユニークIPアドレスから数百件のインバウンド接続を記録し、そのうち58%が最新のIvanti EPMM脆弱性の悪用を直接試みていた」と、同社の脅威インテリジェンスおよびアナリティクス担当シニアディレクターであるChristiaan Beek氏は述べた。
Beek氏は、Rapid7のハニーポットで観測された主要なペイロードは研究者によるものではなく、リバースシェル、ウェブシェルの展開試行、自動化されたペイロードドロッパーを通じて迅速に制御を得るために作られたものだと強調した。
Ivantiはこれまで、脆弱性をいつどのようにして最初に認識したのか、また最初に悪用が確認された日付がいつなのかについて、明らかにすることを拒んでいる。
Ivantiの欠陥を伴う攻撃は、同社の顧客およびセキュリティ実務者全体にとって繰り返し発生する問題だ。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2021年末以降、既知の悪用されている脆弱性カタログでIvantiの欠陥を31件指定している。過去2年間で、Ivanti製品にまたがる少なくとも19件の欠陥が悪用されてきた。
翻訳元: https://cyberscoop.com/ivanti-zero-day-vulnerabilities-netherlands-european-commission-shadowserver/
