2026年2月、脅威アクターはIvanti Endpoint Manager Mobile(EPMM)の2つの重大なリモートコード実行(RCE)脆弱性を積極的に悪用した。
WithSecureのSTINGR Groupによる最近のインシデント対応調査により、攻撃者が高度に自動化された方法を使用して、侵害されたサーバーから数秒以内に機密データを流出させたことが明らかになった。
これらのゼロデイ脆弱性により、認証されていない攻撃者が影響を受けるソフトウェアをホストするシステム上で任意のコードを実行できる。
- CVE-2026-1281: CVSS v3スコア9.8の重大な認証前RCE欠陥。
- CVE-2026-1340: 重大度スコア9.8の重大な認証前RCE脆弱性。
ヒット・アンド・ラン搾取戦略
脅威アクターは、特別に作成されたHTTP GETリクエストを送信することで、インターネット上の脆弱なEPMMサーバーを機会主義的にスキャンした。
攻撃者は最初に、スリープコールなどの時間ベースの偵察コマンドを使用して、ターゲットが脆弱であるかどうかを確認した後に進めた。
これらの悪意のあるリクエストは、開始時刻と終了時刻のパラメータを操作して、認証前にサーバーに任意のシェルコマンドを評価させた。
多くの初期の試みはURLエンコーディングエラーのために失敗したが、成功した攻撃はシステムの 403.jsp エラーページ内にJavaベースのウェブシェルをインストールした。
このエラーページにbase64エンコードされたペイロードを追加することで、脅威アクターはroot権限でコマンドを実行し、永続的なバックドアを確立できた。
2月9日の特定のインシデント中に、攻撃者は完全なシステム侵害とデータ流出をわずか6秒で完了した。
脅威アクターは、オープンソースの攻撃的なウェブフレームワークであるAntSwordの修正されたコンポーネントを利用して、攻撃を効率化した。
WithSecureによると、初期のHTTPリクエストはウェブシェルをインストールし、その後のリクエストはコンパイルされたJavaクラスをメモリに読み込んだ。
最初のペイロードは偵察用に設計され、オペレーティングシステムとユーザーディレクトリなどの基本的なシステム情報を収集した。
その後、新しいJavaランタイムが必要な二次ペイロードが展開され、ターミナルコマンドをrootユーザーとして直接実行した。
永続的なアクセスを使用して、攻撃者はIvanti MIFs データベースから7つのテーブルをダンプするための標的化されたコマンドを実行した。
このデータベースには、EPMMアプライアンスで管理されるモバイルデバイスに属する認証情報、デバイスメタデータ、および機密情報が含まれている。
さらに、攻撃者は /mi/filesystem ディレクトリからシステム設定ファイルをアーカイブし、管理者アカウント認証情報を含めた。
盗まれたデータアーカイブは、簡単なHTTPリクエストによる迅速な流出のためにウェブアクセス可能なディレクトリに移動された。
データ盗難の後、攻撃者は足跡を隠すためにローカルファイルを削除し、ゼロデイ悪用の深刻なリスクを浮き彫りにした。
翻訳元: https://gbhackers.com/critical-ivanti-epmm-vulnerabilities/
