はじめに

Ivantiは、同社のEndpoint Manager (EPM) において、リモートコード実行（RCE）や権限昇格につながる可能性のある2つの高 severity の脆弱性を含む、合計13の脆弱性を修正したことを発表しました。これらの脆弱性は、Ivanti EPMのユーザーに早急な対応を促しています。

発見された脆弱性の概要

今回開示された13の脆弱性のうち、2つは高 severity の問題であり、残りの11は中 severity のSQLインジェクションの欠陥です。現時点では、これらの脆弱性が悪用されたという証拠はありませんが、Ivantiは顧客に対し、最新のサポートされているリリースへの移行と推奨される緩和策の適用を強く推奨しています。

• 高 severity の脆弱性 (2件): 権限昇格およびリモートコード実行の可能性
• 中 severity の脆弱性 (11件): SQLインジェクションによる任意のデータベースデータの読み取り

主要な脆弱性の詳細

特に注意すべき2つの高 severity の脆弱性は以下の通りです。

• CVE-2025-11622: 不安全なデシリアライゼーションの欠陥で、ローカルの認証済み攻撃者が権限を昇格できる可能性があります。(CVSS 7.8, CWE-502)
• CVE-2025-9713: パストラバーサルの脆弱性で、認証されていない攻撃者がユーザーの操作を必要とするものの、リモートコード実行を可能にします。(CVSS 8.8, CWE-22)

残りの11件のCVEは、認証されたリモートユーザーが任意のデータベースデータを読み取ることができるSQLインジェクションの脆弱性です。(CVSS 6.5, CWE-89)

これらの問題は、Trend MicroのZero Day Initiativeと協力している研究者06fe5fd2bc53027c4a3b7e395af0b850e7b8a044氏によって報告されました。

影響を受けるバージョンとパッチの状況

影響を受けるバージョンには、Ivanti EPM 2024 SU3 SR1以前のバージョン、およびすでにサポート終了（EOL）となっているIvanti EPM 2022 SU8 SR2以前のバージョンが含まれます。

パッチの提供は2段階で行われる予定です。

• 不安全なデシリアライゼーションとパストラバーサルの脆弱性: Ivanti EPM 2024 SU4で修正予定（2025年11月12日リリース目標）
• SQLインジェクションの脆弱性: Ivanti EPM 2024 SU5で修正予定（2026年第1四半期リリース目標）

推奨される緩和策

パッチが適用されるまでの間、Ivantiは以下の緩和策を推奨しています。

• Ivanti EPM 2024へのアップグレードを最優先し、SU4およびSU5のロールアウトに備えること。
• CVE-2025-11622 (不安全なデシリアライゼーション) 向け: EPM 2024 SU3 SR1の顧客はリスクが軽減されます。未アップグレードの顧客は、信頼できるファイアウォールを介してアクセスをホワイトリスト化し、任意の高範囲TCPポートへのリモートアクセスを制限し、EPM Coreサーバーへのアクセスをローカル管理者のみに限定すること。
• CVE-2025-9713 (パストラバーサル) 向け: 信頼できない設定ファイルをEPM Coreサーバーにインポートしないこと。やむを得ない場合は、ファイルの内容を慎重に確認すること。
• SQLインジェクションの脆弱性向け: レポートデータベースユーザーを削除することで露出を排除できますが、レポート機能が無効になるトレードオフがあります。
• 一般的な対策: 管理者アクセス権のレビュー、ファイアウォールルールの強化、信頼できないインポートの回避など、攻撃対象領域を減らすための対策を実施すること。

結論

Ivanti EPMのユーザーは、これらの脆弱性によるリスクを最小限に抑えるため、速やかに最新バージョンへのアップグレードを計画し、提供されるパッチを適用することが不可欠です。また、パッチが利用可能になるまでの間は、推奨される緩和策を厳格に実施し、最小権限の原則、ネットワークセグメンテーション、入力検証などのセキュリティベストプラクティスを適用することが求められます。

---

元記事: https://gbhackers.com/ivanti-patches-13-endpoint-manager-flaws/