トレンドマイクロのZero Day Initiative(ZDI)は今週、Ivanti Endpoint Managerに存在する未修正の脆弱性13件に関するアドバイザリを公開しました。
これらの脆弱性のうち1件はローカル攻撃者による権限昇格を可能にし、2024年11月にIvantiへ報告されました。残りの12件はリモートコード実行(RCE)につながるもので、2025年6月に報告されました。
これらの脆弱性は技術的にはゼロデイではありませんが、ZDIは公開する未修正の脆弱性すべてを「0day」としています。ZDIのアドバイザリでは、脆弱なコンポーネントの名称と根本原因の一般的な説明が記載されていますが、その他の技術的な詳細は含まれていません。
これらの脆弱性にはCVE識別子は発行されていませんが、ZDIはすべてが高深刻度の欠陥であると指摘しています。最も深刻なものはCVSSスコア8.8、1件は7.8、残りの11件は7.2のCVSSスコアとなっています。
ZDIによると、ローカル権限昇格のバグはEndpoint ManagerのAgentPortalサービスに影響します。これは、ユーザーから提供された入力が適切に検証されていないために発生し、信頼できないデータのデシリアライズとSystem権限でのコード実行につながります。
また、ユーザーから提供されたデータの適切な検証が行われていないことに起因するRCEの脆弱性は、製品のReport_RunPatch、MP_Report_Run2、DBDR、PatchHistory、MP_QueryDetail2、MP_QueryDetail、MP_VistaReport、Report_Runの各クラス、およびGetCountForQueryとOnSaveToDBメソッドで発見されました。
最初の11件のRCE脆弱性では、適切に検証されていないユーザー入力がSQLクエリの構築に使用され、サービスアカウントのコンテキストで任意のコード実行につながる可能性があります。これらを悪用するには認証が必要です。
最後のRCE問題(CVSSスコア8.8)では、適切に検証されていないユーザー指定のパスがファイル操作に使用され、ユーザーのコンテキストでコード実行が可能となります。攻撃者は管理者資格情報を持っている場合や、ユーザーに悪意あるページやファイルを開かせることができれば、この欠陥を悪用できます。
ZDIによると、Ivantiは最初のセキュリティホールについて2024年11月に通知を受け、2025年1月に認識しました。7月には、ベンダーからZDIに対し、パッチは11月にリリースされると通知がありました。
RCE脆弱性については、Ivantiは当初10件を9月に修正するとしていましたが、その後、12件すべてについて2026年3月までの延長を求めたとZDIは述べています。
ZDIの開示ポリシーによれば、ベンダーには報告から120日間の対応期間が与えられます。期限までにベンダーが応答しない、または修正がリリースされていない合理的な理由を示さない場合、ZDIは報告されたセキュリティ欠陥について限定的なアドバイザリを公開します。
「脆弱性の性質を考慮すると、唯一有効な緩和策は製品とのやり取りを制限することです」とZDIは各バグについて述べています。追加情報はZDIの公開アドバイザリページで確認できます。
なぜIvantiが開示期間内にこれらのバグに対するパッチを提供できていないのかは不明です。同社はまだアドバイザリを公開していません。SecurityWeekは本件についてIvantiにコメントを求めており、ベンダーから回答があれば本記事を更新します。
翻訳元: https://www.securityweek.com/zdi-drops-13-unpatched-ivanti-endpoint-manager-vulnerabilities/
