Ivanti は、Endpoint Manager (EPM) ソフトウェアに対する重要なセキュリティパッチを緊急リリースし、攻撃者が企業ネットワークから機密データを盗み出すことを可能にする 2 つの重大な脆弱性を修正しました。
2026 年 2 月 9 日にリリースされたこのアップデートは、EPM 2024 バージョンの欠陥を対象としています。EPM は、IT チームが企業全体のノートパソコンやサーバーなどのデバイスを監視・保護するために使用するツールです。
EPM はネットワークの深部で動作し、あらゆる場所のエンドポイントにアクセスできます。そのため、これらのバグはハッカーにとって格好の標的となります。大した労力をかけずに侵入し、認証情報やその他のデータを盗み出す迅速な方法を提供するからです。
今回の主役は CVE-2026-1603 で、CVSS スコア 8.6 の高深刻度の認証バイパスバグです。想像してみてください。ハッカーがファイアウォールの外側に座り、ユーザー名もパスワードも必要ありません。
彼らは単に細工したリクエストを EPM サーバーに送信し、保存された認証情報データをそのまま取り出すだけです。
これは EPM 2024 SU5 以前のバージョンに影響します。ログインが不要ということは、スキルの低いスクリプトキディでもリモートで悪用できることを意味します。パッチ適用は任意ではなく、認証されていないアクセスをブロックするために緊急に必要です。
次に CVE-2026-1602 があります。これは CVSS で 6.5 のスコアを獲得した中深刻度の SQL インジェクション欠陥です。ここでは、攻撃者はまず有効なログイン認証情報が必要で、おそらくフィッシング攻撃の成功や弱いパスワードから取得します。
侵入すると、データベースクエリを改変して、ユーザー情報や設定などの任意のデータをダンプできます。
初期アクセスが必要なため、バイパスほど怖くはありませんが、内部関係者や侵害されたアカウントにとっては危険です。玄関のピッキング後に裏口が少し開いたままになっているようなものと考えてください。
Ivanti はまた、2025 年 10 月からの 11 件の中程度のバグの修正もバンドルしており、これをワンストップのセキュリティクリーンアップとしています。良いニュースは、現在のところ野生での既知の悪用はないということです。
功績は、Trend Zero Day Initiative 経由で責任ある開示を行った研究者「06fe5fd2bc53027c4a3b7e395af0b850e7b8a044」にあります。
Ivanti EPM 2024 SU4 SR1 以前を使用している組織は、迅速に対応してください:
翻訳元: https://cyberpress.org/ivanti-endpoint-manager-vulnerability/