Threat intelligence firm GreyNoiseは、Ivanti Endpoint Manager Mobile (EPMM)で新たに公開されたセキュリティ欠陥を標的とする攻撃の大部分が、PROSPEROによって提供されるbulletproofホスティングインフラストラクチャ上の単一IPアドレスから発生していると報告しました。

攻撃の概要

GreyNoiseによると、2026年2月1日から9日にかけて、8つのソースIPアドレスから417回の悪用セッションが記録されました。そのうち346回（全体の約83%）は、193.24.123[.]42という単一のIPアドレスから発生したとされています。

脆弱性の詳細

これらの攻撃は、CVSSスコアが9.8であるCVE-2026-1281を悪用しています。この脆弱性は、EPMMで発見された2つの重大なセキュリティ欠陥のうちの1つであり、これにより攻撃者は認証なしでリモートコード実行を行うことができます。

影響を受けた組織

Ivantiは先月、このゼロデイ攻撃によって「非常に限られた数の顧客」が影響を受けていたことを確認しました。その後、オランダのデータ保護機関（AP）、裁判所評議会、欧州委員会、フィンランドのValtoriなど、複数のヨーロッパの組織が未知の脅威アクターによってこの脆弱性を利用して攻撃を受けたことを明らかにしました。

関連する他のCVE

さらに調査により、同一ホストが同時に3つの異なるソフトウェアで利用可能な4つのCVEを悪用していることが判明しています：

• CVE-2026-21962 (Oracle WebLogic): 2,902回のセッション
• CVE-2026-24061 (GNU InetUtils telnetd): 497回のセッション
• CVE-2025-24799 (GLPI): 200回のセッション

攻撃者の手法

GreyNoiseは、このIPアドレスが300以上のユニークなユーザーエージェント文字列を通過し、Chrome、Firefox、Safariなどのブラウザや異なるオペレーティングシステムのバリエーションを使用していると報告しています。

対策

Ivanti EPMMユーザーは、パッチを適用し、インターネットに接続されたモバイルデバイス管理（MDM）インフラストラクチャを監査し、DNSログを確認してOASTパターンのコールバックを探し、/mifs/403.jspパスを監視することを推奨されています。

まとめ

Ivantiは、パッチ適用が最も効果的な防御策であると強調しています。また、PROSPEROのオートノマスシステム（AS200593）をネットワーク周辺でブロックすることも推奨されています。

---

元記事: https://thehackernews.com/2026/02/83-of-ivanti-epmm-exploits-linked-to.html