Palo Alto Networks のUnit 42は、2つの重大な脆弱性が積極的に悪用され、認証なしでのアクセス取得、永続的なバックドアの展開、およびパッチ適用後でもエンタープライズモバイルフロート全体の侵害が発生していると述べています。
攻撃者は、Ivantiのエンドポイントマネージャーモバイル(EPMM)の2つの重大なゼロデイ脆弱性を積極的に悪用して、エンタープライズモバイルデバイス管理インフラストラクチャの認証なしでの制御を取得し、組織が利用可能なパッチを適用した後でも永続化するようにエンジニアリングされたバックドアをインストールしています。
「Ivanti Endpoint Manager Mobile(EPMM)に影響を与える2つの重大なゼロデイ脆弱性(CVE-2026-1281 および CVE-2026-1340)は現在、実際の環境で積極的に悪用されており、エンタープライズモバイルフロートおよび企業ネットワークに影響を与えています」とPalo Alto Networks のUnit 42脅威研究チームはアドバイザリーで述べています。「これらの脆弱性により、認証されていない攻撃者はターゲットサーバー上で任意のコードを遠隔実行でき、ユーザーの操作または認証情報を必要とせずに、モバイルデバイス管理(MDM)インフラストラクチャの完全な制御を得ることができます。」
EPMM(旧MobileIron Core)は、企業が従業員のスマートフォンとタブレットのセキュリティポリシーを管理および適用するために使用するモバイルデバイス管理プラットフォームです。
Palo Alto Networks の攻撃対象領域管理プラットフォームCortex Xpanseは、現在公開インターネット上に公開されている4,400を超えるEPMM インスタンスを発見しました。プラットフォームの侵害により、攻撃者は組織のモバイルフロート全体にわたるデバイスポリシー、認証情報、およびメタデータへのアクセスが可能になるとUnit 42はアドバイザリーで警告しています。
両方の脆弱性はCVSSスコア9.8を持ち、認証されていない攻撃者がユーザーの操作や有効な認証情報なしで公開されたEPMMサーバー上で任意のコマンドを実行できます。
Ivantiは1月下旬に緊急パッチをリリースした際に攻撃を認めましたが、初期の影響は限定的だと説明しました。「開示時にソリューションが悪用されたお客様の数は非常に限定的であることを認識しています」と同社はセキュリティアドバイザリーで述べています。
Unit 42によると、両方の脆弱性はレガシーApacheウェブサーバー構成での安全でないBashスクリプト処理に起因します。CVE-2026-1281はIn-House Application Distribution機能を標的にしており、CVE-2026-1340はAndroidファイル転送メカニズムを処理する別個のスクリプトを通じて同じクラスの欠陥を悪用します。「根本原因は同じですが、異なる機能を処理する2つの異なるスクリプトに存在します」とアドバイザリーは説明しています。
スキャンからバックドアまで
Unit 42は脅威アクターが自動スキャンから初期アクセスへと急速に移行し、その後パッチ適用サイクルより長く持続するように設計された永続的なバックドアを展開するために迅速にエスカレートしていることを記録しました。
初期アクセスを取得した後、攻撃者は即座に2段目のペイロードをダウンロードして実行しようとしました。「この2段目は通常、ウェブシェル、クリプトマイナー、または攻撃者にアプライアンスの制御権を付与する永続的なバックドアをインストールします」とアドバイザリーは述べています。
Unit 42はまた、攻撃者が侵害されたシステムに対する可視性を維持するためにNezhaオープンソース監視エージェントを展開したと述べています。
攻撃者はアメリカ、ドイツ、オーストラリア、カナダ全体の州および地方政府、ヘルスケア、製造、専門サービス、およびハイテク業界を標的にしたとアドバイザリーは付け加えています。
Unit 42はまた、両方のCVEの概念実証エクスプロイトコードがすでに公開されており、より多くの脅威アクターが機能するエクスプロイトを採用する可能性があるため、より広範な悪用が起こりやすいと警告しました。
パッチを当てるが、まず検証する
Unit 42は対応ガイダンスについてIvantiのセキュリティアドバイザリーに組織を向けました。これはアプライアンスダウンタイムを必要としないEPMM 12.xブランチ向けバージョン固有のRPMパッチの適用を推奨しています。しかし、Ivantiは警告として、パッチはバージョンアップグレード後は存続しず、ソフトウェアが更新された場合は再インストールする必要があると述べています。「この脆弱性の恒久的な修正は次の製品リリースに含まれます:2026年Q1に予定されている12.8.0.0。」
Ivantiはまたそのアドバイザリーで、Sentryモバイルトラフィックゲートウェイは直接脆弱ではありませんが、EPMMは接続されたSentryシステム上のコマンド実行権限を保持していると警告しました。「EPMMの展開が侵害されている場合、攻撃者はIvanti Sentryも侵害している可能性があります」とIvantiは警告しました。
侵害を疑う組織に対して、Ivantiのアドバイザリーは影響を受けたシステムのクリーンアップを試みないことを提案しました。代わりに、既知の良好なバックアップから復元するか、完全なリビルドを実行し、その後すべてのアカウントパスワード、サービス認証情報、および公開証明書を完全にリセットすることを推奨しました。両方のCVEの概念実証エクスプロイトコードがすでに公開されているため、より多くの脅威アクターが機能するエクスプロイトを採用する可能性があるため、より広範な悪用が予想されます。
馴染みのあるパターン
EPMMを標的にすることはIvantiの顧客にとって馴染みのあるパターンに従っています。この製品は以前大規模に悪用されてきました—2023年に、国家が支援する攻撃者はEPMMゼロデイを使用してノルウェー政府ネットワークに侵入し、別個の欠陥は昨年実際の環境で再び悪用されました。
IvantiのConnect Secure VPNプロダクトは同様に問題が多い記録を持っており、中国のAPTグループが連続したキャンペーンでゼロデイを悪用し、最終的に米国政府は2024年2月に連邦機関にIvanti VPNプロダクトを完全に切断するよう命じました。
