サイバーニュース.jp

世界のサイバーなニュースを配信

Two Ivanti EPMM Zero-Day RCE Flaws Actively Exploited, Security Updates Released

カテゴリ:

“`json
{
“title”: “Ivanti EPMMにゼロデイRCE脆弱性2件、緊急アップデートをリリース – 既に攻撃で悪用を確認”,
“content”: “

Ivanti EPMMに緊急のゼロデイ脆弱性

Ivantiは、同社のEndpoint Manager Mobile (EPMM) に影響する2つのゼロデイリモートコード実行 (RCE) 脆弱性に対応するため、セキュリティアップデートをリリースしました。これらの脆弱性は既に**現実世界の攻撃で悪用**されていることが確認されており、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、そのうちの1つを**Known Exploited Vulnerabilities (KEV) カタログ**に追加しています。

発見された脆弱性は以下の通りです:

  • CVE-2026-1281 (CVSSスコア: 9.8) – 攻撃者が認証なしでリモートコード実行を可能にするコードインジェクションの脆弱性。
  • CVE-2026-1340 (CVSSスコア: 9.8) – 攻撃者が認証なしでリモートコード実行を可能にするコードインジェクションの脆弱性。

これらの脆弱性は、EPMM 12.5.0.0以前、12.6.0.0以前、12.7.0.0以前のバージョンに影響し、RPM 12.x.0.xで修正が提供されています。また、EPMM 12.5.1.0以前および12.6.1.0以前のバージョンについては、RPM 12.x.1.xで修正されています。ただし、RPMパッチはバージョンアップグレード後には維持されないため、アップグレード後には再適用が必要です。これらの脆弱性に対する恒久的な修正は、2026年第1四半期後半にリリースされるEPMMバージョン12.8.0.0で提供される予定です。

攻撃の現状と影響範囲

Ivantiによると、これらの脆弱性が悪用された顧客は「非常に限定された数」であるとのことです。現時点では、脅威アクターの戦術に関する詳細な情報は不足していますが、Ivantiは以前のEPMM脆弱性を標的とした攻撃で、永続化のためにウェブシェルやリバースシェルが展開されるケースを確認しています。

EPMMアプライアンスが正常に悪用された場合、**アプライアンス上で任意のコード実行**が可能になります。これにより、接続された環境へのラテラルムーブメントや、アプライアンスが管理するデバイスに関する**機密情報**へのアクセスといったリスクが生じます。

今回の脆弱性は、In-House Application DistributionおよびAndroid File Transfer Configuration機能に影響を与えます。Ivanti Neurons for MDM、Ivanti Endpoint Manager (EPM)、Ivanti Sentryなどの他の製品には影響しないと報告されています。

侵害の特定と緊急対策

ユーザーは、攻撃の試行または成功の兆候がないか、Apacheアクセスログ (/var/log/httpd/https-access_log) を確認することが推奨されています。以下の正規表現パターンを使用し、**404 HTTPレスポンスコード**が表示されているエントリに注目してください。

  • 正規表現パターン: ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

また、以下の項目について、不正な設定変更がないかレビューするよう求められています。

  • 新しい、または最近変更されたEPMM管理者
  • SSOおよびLDAP設定を含む認証構成
  • モバイルデバイスへの新しいプッシュアプリケーション
  • インハウスアプリケーションを含む、デバイスにプッシュするアプリケーションへの構成変更
  • 新しい、または最近変更されたポリシー
  • モバイルデバイスにプッシュするネットワーク構成またはVPN構成を含む、ネットワーク構成の変更

侵害の兆候が検出された場合、IvantiはEPMMデバイスを既知の良好なバックアップから復元するか、代替のEPMMを構築してデータを移行することを強く推奨しています。さらに、環境をセキュアにするために以下の変更を実施することが不可欠です。

  • ローカルEPMMアカウントのパスワードをリセットする。
  • 参照を実行するLDAPおよび/またはKDCサービスアカウントのパスワードをリセットする。
  • EPMMに使用されている公開証明書を失効させ、新しいものに交換する。
  • EPMMソリューションで構成されている他の内部または外部サービスアカウントのパスワードをリセットする。

CISAによる警告と期限

米国のCISAは、CVE-2026-1281Known Exploited Vulnerabilities (KEV) カタログに登録しました。これにより、連邦政府の行政機関は**2026年2月1日**までにこれらのアップデートを適用することが義務付けられています。


}
“`

元記事: https://thehackernews.com/2026/01/two-ivanti-epmm-zero-day-rce-flaws.html

投稿をさらに読み込む