- CISAは、攻撃者がCVE-2025-4427とCVE-2025-4428を連鎖させてIvanti EPMMシステムに侵入したと警告
- マルウェアはELインジェクションを通じて配信され、Base64エンコードされたペイロードから再構築された
- CISAは犯行主体を特定していないが、報道では中国によるオーストラリア組織の標的化の可能性が示唆されている
米国サイバーセキュリティ・インフラストラクチャ安全局(CISA)は、現実の攻撃で連鎖して悪用されている2つのIvantiの脆弱性について、組織に警告を発しています。
新たなセキュリティ勧告で、CISAはサイバー犯罪者がCVE-2025-4427およびCVE-2025-4428(いずれもIvantiのEndpoint Manager Mobile(EPMM)ソリューションに影響)を利用して初期アクセスを得ているとの情報を得たと述べました。
前者はEPMM 12.5.0.0以前のAPIコンポーネントにおける認証バイパスで、攻撃者が適切な認証情報なしにAPI経由で保護されたリソースにアクセスできるものです。深刻度スコアは7.5/10(高)で、2025年5月に修正されました。後者はEPMMのAPIコンポーネントにおけるリモートコード実行(RCE)のバグで、認証されていない攻撃者が細工したAPIリクエストを通じて任意のコードを実行できるものです。深刻度スコアは8.8/10(高)で、ほぼ同時期に修正されました。
マルウェアの投下
CISAによると、攻撃者はこれら2つの脆弱性を連鎖させて、2種類のマルウェアを投下しました。
1つ目は、Apache Tomcatに悪意あるリスナーを注入するコンポーネントを含み、特定のHTTPリクエストを傍受して任意のJavaコードを実行できるようにします。2つ目のマルウェアセットも同様に動作しますが、HTTPリクエスト内のエンコードされたパスワードパラメータを処理するために異なるクラスを使用します。
どちらのセットも、Java Expression Language(EL)インジェクションをHTTP GETリクエスト経由で利用して配信されたと研究者は説明しています。ペイロードはBase64でエンコードされ、複数のパーツに分けて一時ディレクトリに書き込まれ、後で再構築されました。これにより、攻撃者は従来のセキュリティツールによる検知を回避できました。
CISAは犯行主体について言及しておらず、公式にはこの攻撃の脅威アクターや被害者が誰であるかは不明です。しかし、The Registerは、以前の報道を引用し、これは中国の国家支援攻撃者がオーストラリアの組織を狙った可能性があると伝えています。
出典:The Register
