Ivantiは、組織データをリスクにさらす可能性のある2つの重大な脆弱性に対処するため、Endpoint Manager(EPM)ソリューションの重要なセキュリティアップデートを発行しました。
2026年2月9日に公開されたこのアドバイザリは、攻撃者が認証メカニズムを完全にバイパスできる深刻度の高い脆弱性を強調しています。
Ivanti EPMは、企業ネットワーク全体でデバイスを管理・保護するためにIT管理者によって広く使用されています。
このソフトウェアはエンドポイントへの深いアクセス権を持つため、その中の脆弱性は、企業環境への足がかりを得ようとする脅威アクターにとって優先度の高いターゲットとなります。
認証バイパス
このアップデートで最も懸念される問題は、CVE-2026-1603として追跡されています。この脆弱性のCVSS深刻度スコアは8.6(高)です。
この脆弱性は、Ivanti EPMの2024 SU5より前のバージョンに影響する認証バイパスの脆弱性です。
簡単に言えば、この脆弱性により、組織のネットワーク外部のリモート攻撃者が、ユーザー名やパスワードを必要とせずに特定の保存された認証情報データにアクセスできます。
攻撃者がこれを悪用するために認証を必要としないため、参入障壁は低く、即座のパッチ適用が不可欠です。
SQLインジェクション
2番目の脆弱性であるCVE-2026-1602は、CVSSスコア6.5(中)で評価されています。これはSQLインジェクションの脆弱性です。
認証バイパスとは異なり、この脆弱性では攻撃者がシステムの有効なユーザー認証情報を既に持っている必要があります。
攻撃者が認証済みアクセスを持っている場合、データベースクエリを操作して、アクセスすべきでない任意のデータを読み取ることができます。
ログインが必要なため深刻度は低いものの、内部脅威や侵害されたユーザーアカウントからのデータ漏洩のリスクは依然として存在します。
| CVE番号 | 深刻度 | CVSSスコア | タイプ |
|---|---|---|---|
| CVE-2026-1603 | 高 | 8.6 | 認証バイパス |
| CVE-2026-1602 | 中 | 6.5 | SQLインジェクション |
これら2つの新しい問題に加えて、Ivantiのアップデートは2025年10月に以前開示された11の中程度の深刻度の脆弱性を解決し、実質的に大量のセキュリティ改善を単一のパッチにまとめています。
防御側にとっての朗報は、Ivantiが現在、開示時点でこれらの脆弱性によって積極的に悪用されている顧客を把握していないことです。
この脆弱性は、Trend Zero Dayイニシアチブと協力している「06fe5fd2bc53027c4a3b7e395af0b850e7b8a044」として特定されたセキュリティ研究者によって責任を持って報告されました。
Ivanti Endpoint Manager 2024を利用している組織は、直ちに以下の手順を実行する必要があります:
- バージョンの確認:2024 SU4 SR1以前を実行しているかどうかを確認してください。
- 更新:2024 SU5アップデートをダウンロードしてインストールしてください。
- 入手先:アップデートはIvanti License System(ILS)経由で入手できます。
管理者は、認証されていないデータ窃取への扉を閉ざすため、このアップデートを優先することが強く推奨されます。
翻訳元: https://gbhackers.com/ivanti-endpoint-manager-flaw/
