Ivanti EPMMに二つの重大な脆弱性が発覚

セキュリティ研究者らは、Ivanti Endpoint Manager Mobile (EPMM) における二つの重大な脆弱性が、開示前から限られた数のユーザーを標的とした悪用活動に利用されていたと警告しています。これらの脆弱性、CVE-2026-1281とCVE-2026-1340は、リモートコード実行（RCE）を可能にし、深刻度スコアは9.8と非常に高いです。Ivantiは、脆弱性の公開時点で既に「ごく一部の顧客」が悪用の対象となっていたことを認識していました。

標的型攻撃の証拠と当局の迅速な動き

Rapid7のシニアプリンシパルセキュリティ研究者であるStephen Fewer氏は、「これは高度に標的を絞った攻撃であり、脅威アクターが一つまたは複数の特定の組織を侵害しようとしていることを示唆している」と述べています。2023年にはノルウェーのセキュリティ・サービス機関（DSS）がEPMMに対するゼロデイ攻撃によって侵害された過去もあり、今回の事態も同様の懸念を抱かせます。

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、CVE-2026-1281を既知の悪用済み脆弱性カタログに即座に追加し、連邦機関に対して異例の短期間である2月1日までに脅威を軽減するよう要求しました。

広がる悪用状況と専門家からの警告

Shadowserver Foundationの報告によると、2月3日の時点でCVE-2026-1281に対する悪用試行が急増しています。当初は13のソースIPから脅威活動が検出され、世界中で1,600のインスタンスが露出していましたが、現在では1,400に減少しています。しかし、Shadowserver CEOのPiotr Kijewski氏は、「コールバックの実行やリバースシェルの設定を含む」脅威活動が依然として進行中であると警鐘を鳴らしています。

watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏も、初期の脅威活動が高度に標的型であったことを確認しており、侵害後の活動にはバックドアウェブシェルの展開や、脆弱なシステムの広範なプローブが含まれると報告しています。Health Information Sharing and Analysis Center (H-ISAC) は、潜在的な露出のある小規模な組織を特定し、緩和策に関するガイダンスを提供しています。

• 「この脆弱性は積極的に悪用されており、Ivanti EPMMを使用しているすべての組織はこれを最優先のパッチとして扱い、厳密に監視すべきである。」とH-ISACの最高セキュリティ責任者であるErrol Weiss氏は述べています。
• 「露出が狭い場合でも、関与するシステムは企業の運用にとってしばしば重要であるため、迅速な修復と警戒の強化が不可欠である。」

Ivantiによる対応と恒久的な修正の予定

Ivantiは、影響を受けるユーザーに対し一時的なパッチのインストールを強く推奨しています。ただし、この一時的な修正はバージョンアップグレード後には再インストールが必要となる点に注意が必要です。恒久的な修正プログラムは現在開発中で、次期製品リリースであるバージョン12.8.0.0で提供される予定です。

元記事: https://www.cybersecuritydive.com/news/critical-flaws-ivanti-epmm-exploitation/811228/