概要
Ivanti Endpoint Manager Mobile (EPMM)の2つの重大なゼロデイ脆弱性(CVE-2026-1281とCVE-2026-1340)が実世界で悪用され、企業向けモバイル機器群やコーポレートネットワークを標的にしている。
脆弱性の詳細
これらの脆弱性はリモートコード実行(RCE)であり、未認証の攻撃者がEPMMサーバー上で任意のコマンドを実行できるようにする。これにより、ユーザーとの相互作用なしにMDMインフラストラクチャに対する完全な制御が可能になる。
影響範囲
これらの脆弱性は、州や地方政府、医療、製造業、プロフェッショナルおよび法律サービス、ハイテクセクターなど、米国、ドイツ、オーストラリア、カナダの組織に影響を及ぼしている。
攻撃者の戦略
攻撃者はこれらの脆弱性を利用して逆シェルを確立し、ウェブシェルを展開し、偵察を行い、さらなるマルウェアをダウンロードする。また、パッチ適用後も長期的なアクセスを維持するために潜伏バックドアを設置する傾向がある。
具体的な脆弱性
- CVE-2026-1281: CVSS評価9.8の深刻なコードインジェクションフラウト。ApacheウェブサーバーでURLリライトに使用されるIvanti EPMMのIn-House Application Distribution機能。
- CVE-2026-1340: CVSS評価9.8の脆弱性。Androidファイル転送メカニズムを介して、別のスクリプト(map-aft-store-url)で不安全なバッシュスクリプティングパターンが存在。
対策と緩和策
Ivantiは1月のセキュリティアドバイザリで、顧客にRPM 12.x.0.xまたは12.x.1.xパッケージを適用するよう指示している。また、組織にはインジケーターオブコムプロイズ(IoCs)を使用して侵害の兆候を探すことを推奨。
まとめ
これらの脆弱性は迅速に悪用され、パッチが適用されていないエッジデバイスを非常に危険な状態にしている。インターネット向けEPMM展開を持つ組織は、侵害の兆候を潜在的な完全な侵害と見なし、防御するべきである。