サイバーニュース.jp

世界のサイバーなニュースを配信

Ivanti EPMMに二つのゼロデイ脆弱性が発覚、活発な悪用を確認

カテゴリ:

概要

Ivantiは、同社の製品であるIvanti Endpoint Manager Mobile (EPMM) において、二つの重大なゼロデイ脆弱性 (CVE-2026-1281およびCVE-2026-1340) が活発に悪用されていることを明らかにしました。これらの脆弱性は、リモートの攻撃者が認証なしに任意のコードを実行できるコードインジェクションの欠陥であり、両方ともCVSSスコアは9.8と評価されています。

脆弱性の詳細

今回開示された脆弱性は、EPMMの以下のバージョンに影響を及ぼします:

  • EPMMバージョン 12.5.0.x、12.6.0.x、12.7.0.x
  • EPMMバージョン 12.5.1.0、12.6.1.0

これらの脆弱性は、EPMMの社内アプリケーション配布機能およびAndroidファイル転送設定機能を通じて悪用されることが確認されています。

影響と対策

これらの脆弱性が悪用された場合、攻撃者はEPMMアプライアンス上で任意のコードを実行し、以下の広範な情報にアクセスできる可能性があります。

  • 管理者およびユーザー名、メールアドレス
  • 管理対象モバイルデバイス情報 (電話番号、IPアドレス、インストール済みアプリケーション、IMEI、MACアドレスなど)
  • ロケーション追跡が有効な場合は、GPS座標を含むデバイスの位置情報

さらに、攻撃者はEPMMのAPIやウェブコンソールを利用して、デバイスの認証設定を含む構成変更を行うことも可能です。

Ivantiは、影響を受けるEPMMバージョン向けにRPMスクリプトをリリースしており、早急な適用を強く推奨しています。これらのパッチはシステムダウンタイムを必要とせず、機能的な影響もないとされています。ただし、これらのホットフィックスはバージョンアップ後に再適用が必要であり、恒久的な修正は2026年第1四半期にリリース予定のEPMMバージョン12.8.0.0で行われる予定です。

侵害の検出と対応

Ivantiは、管理者向けに侵害の検出と事後対応に関する技術的ガイダンスを提供しています。

検出方法

両脆弱性は、EPMMの「In-House Application Distribution」および「Android File Transfer Configuration」機能を通じてトリガーされます。攻撃試行は、Apacheのアクセスログ (/var/log/httpd/https-access_log) に記録されます。以下の正規表現を使用して、ログ内の悪用活動を探すことができます。

^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

この正規表現は、脆弱なエンドポイントをターゲットとした外部からのリクエストで404 HTTPレスポンスコードを返すログエントリを抽出します。正規のリクエストは通常HTTP 200を返しますが、悪用試行は成功・失敗に関わらず404エラーを返すため、強力な指標となります。

なお、一度アプライアンスが侵害されると、攻撃者によってログが改ざんまたは削除される可能性があるため、オフデバイスログが利用可能な場合はそちらを確認することが推奨されます。

侵害が疑われる場合の対応

侵害が疑われる場合、Ivantiはシステムをクリーンアップするのではなく、以下の対応を推奨しています。

  • 悪用発生前に取得された、既知の良好なバックアップからEPMMを復元する。
  • アプライアンスを再構築し、データを新しいシステムに移行する。

システム復元後には、以下の行動を推奨しています。

  • すべてのローカルEPMMアカウントのパスワードをリセットする。
  • ルックアップを実行するLDAPおよび/またはKDCサービスアカウントのパスワードをリセットする。
  • EPMMで使用されている公開証明書を失効させ、新しいものに置き換える。
  • EPMMソリューションで設定されているその他の内部または外部サービスアカウントのパスワードをリセットする。

また、EPMMのみが影響を受けるとされていますが、Sentryログの確認も推奨されています。Sentryはモバイルデバイスから内部ネットワーク資産へのトラフィックをトンネルするために使用されるため、EPMMアプライアンスが侵害された場合、Sentryがアクセスできるシステムに対する偵察や横方向の移動がないかレビューする必要があります。

CISAによる警告と過去の事例

米サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、CVE-2026-1281を既知の悪用済み脆弱性 (KEV) カタログに追加しました。これにより、連邦政府機関は2026年2月1日までに、この脆弱性に対するベンダーの緩和策を適用するか、脆弱なシステムの使用を中止するよう義務付けられています。

Ivanti EPMM製品は、過去にもゼロデイ攻撃の標的となっており、2025年9月には別の二つのEPMMゼロデイ脆弱性が悪用され、CISAがそのマルウェアキットの分析を公開しています。

元記事: https://www.bleepingcomputer.com/news/security/ivanti-warns-of-two-epmm-flaws-exploited-in-zero-day-attacks/

投稿をさらに読み込む