脅威グループが悪用活動を強める中、欧州当局はIvanti Endpoint Manager Mobileの重大な欠陥に関連する複数のサイバー攻撃を調査している。
Ivantiは先週、アドバイザリを公開し、オンプレミス版EPMMにおけるコードインジェクションの脆弱性について、CVE-2026-1281およびCVE-2026-1340として追跡されているとした。悪用に成功すると、攻撃者はリモートコード実行を達成できる。
欧州委員会は、中央モバイル基盤に対する攻撃を調査していると述べた。1月30日の攻撃により、一部職員の氏名と携帯電話番号にハッカーがアクセスできた可能性があると、ブログ投稿(木曜日公開)で明らかにした。
当局者は、インシデントは9時間以内に封じ込められ、モバイル端末は侵害されなかったと述べた。
一方、オランダ当局は、Ivanti EPMMの脆弱性を悪用した攻撃により、オランダ個人データ保護当局および司法評議会が影響を受けたことを確認した。これは、議会に送付された書簡による。
セキュリティ研究者は、当該脆弱性を標的とする脅威活動が加速しているものの、標的型の形で進んでいると述べた。
「当社は、この脆弱性を悪用する600超の個別IPを検知しており、システムのフィンガープリンティングからリバースシェルの確立、Webシェルまで多様だ。事後悪用の手法は実質的にあらゆるものが確認されている」と、Defusedの創業者兼CEOであるSimo Kohonen氏はCybersecurity Diveに語った。
脅威インテリジェンス企業Defusedの調査によると、ハッカーは侵害されたシステムにJavaクラスローダーを投下しており、初期アクセスブローカーの関与を示唆している。
Shadowserverは侵害されたインスタンスを92件検知しており、CVE-2026-1281を標的とする大規模キャンペーンがあるとして、その数は増加すると見込んでいると、CEOのPiotr Kijewski氏はCybersecurity Diveに語った。
Censysのデータでは、公開インターネット上に露出したログインインターフェースが3,700超あることが示されているが、そのすべてが脆弱と見なされているわけではない。多くはドイツと米国に所在する。
Rapid7の研究者は、脅威活動が加速している一方で、ここ数日は緩やかな減少が見られると述べた。2月5日の悪用試行のピークは525件だったが、過去24時間に観測された試行は約200件となっている。
「送信元IPに直接結び付く帰属情報はないが、この活動は、脆弱なホストを求めて日常的にインターネットをスキャンし、大規模な総当たりの試行を行う既知の悪性インフラと整合している」と、Rapid7の脅威インテリジェンス担当シニアディレクターであるChristiaan Beek氏はCybersecurity Diveに語った。
Beek氏はまた、初期アクセスブローカーの活動の可能性も確認した。n-day脆弱性が足掛かりの獲得に用いられており、ランサムウェア集団への販売の前段階である可能性があるという。
Ivantiは脅威への対処に向け、「顧客に加え、信頼できる政府およびセキュリティパートナーと緊密に連携している」と、同社の広報担当者はCybersecurity Diveに語った。
Ivantiは、オランダNCSCとの取り組みを通じて、侵害指標(IOC)とRPM検知スクリプトを公開した。同社は「透明性にコミット」し、自社顧客とより広範なエコシステムの保護を支援すると述べた。
