サイバーセキュリティ研究者は、Ivanti Endpoint Manager Mobile(EPMM)の2つの重大なゼロデイ脆弱性が積極的に悪用されていることを発見しました。これにより、認証なしでリモートコード実行(RCE)が可能になります。
CVE-2026-1281およびCVE-2026-1340として追跡されているこれらの脆弱性は、どちらもCVSSスコア9.8を持ち、モバイルデバイス管理にEPMMを使用するエンタープライズ環境に深刻なリスクをもたらします。
脆弱性は認証前コンポーネントに存在し、脅威行為者が有効な認証情報なしに任意のコマンドを実行することを可能にします。
脅威行為者は非常に自動化された「ヒット・アンド・ラン」戦略を採用し、細工されたHTTP GETリクエストを使用してインターネット上で脆弱なEPMMインスタンスをスキャンしました。
これらのリクエストは、開始時刻と終了時刻などの入力パラメータを操作し、バックエンドシステムに注入されたシェルコマンドを実行させました。
初期の試みではエンコーディングエラーが見られましたが、成功した悪用により、アプリケーションの403.jspエラーページ内に埋め込まれたJavaベースのウェブシェルのインストールが行われました。
base64エンコードされたペイロードを追加することで、攻撃者は永続的なアクセスとルートレベルのコマンド実行を達成しました。
攻撃チェーンは複数の段階を含んでいました。初期HTTPリクエストはウェブシェルを配置し、後続のリクエストはコンパイルされたJavaクラスをメモリに直接ロードしました。
これらのペイロードは、広く利用可能な攻撃的なウェブフレームワークであるAntSwordの変更されたコンポーネントから一部派生していました。
最初のペイロードはリコナッサンスに焦点を当て、オペレーティングシステム情報とディレクトリ構造などのシステムレベルの詳細を収集しました。
より新しいJavaランタイムが必要な第2段階のペイロードにより、昇格された権限でコマンドを直接実行できました。
このモジュール式アプローチにより、攻撃者は速度と効率を維持しながらターゲット環境に基づいて技術を適応させることができました。
2月9日に記録された1つの事件では、攻撃者はわずか6秒で完全な侵害とデータ流出を完了しました。
アクセスを得た後、彼らはIvanti MIFsデータベースをターゲットにし、次のようなものを含む非常に機密性の高いデータを含む7つのテーブルを抽出しました:
さらに、攻撃者は/mi/filesystemディレクトリにアクセスして設定ファイル(管理者認証情報を含む)を収集しました。
盗まれたデータは圧縮され、ウェブアクセス可能なディレクトリに移動され、単純なHTTPリクエストを介した迅速な流出が可能になりました。
検出を回避するために、攻撃者は転送直後に流出ファイルのローカルトレースを削除しました。
このキャンペーンは、ゼロデイ悪用の成長する洗練さ、特に攻撃者がシステムを侵害して重要なデータを抽出できるスピードを浮き彫りにします。
自動スキャン、メモリ内ペイロード実行、およびファイルレス技術の使用により、検出が著しく困難になります。
Ivanti EPMMを使用している組織は、パッチをすぐに適用し、管理インターフェースへの外部アクセスを制限し、異常なHTTPリクエストまたは認可されていないファイル修正を監視することを強く勧告されています。
この事件は、より広い傾向を強調しています:現代の攻撃者は速度、自動化、ステルスを優先し、検出のウィンドウをわずか数秒に短縮しています。
翻訳元: https://cyberpress.org/ivanti-epmm-vulnerabilities/