記事本文(要約)
Ivantiは、Ivanti Endpoint Manager Mobile (EPMM)での2つのセキュリティ脆弱性に対し、顧客にパッチを適用するよう警告しています。これらの脆弱性は連鎖して攻撃されると、リモートコード実行が可能となります。脆弱性の1つ目はEPMMのAPIコンポーネントにおける認証回避(CVE-2025-4427)であり、もう一つはリモートコード実行の脆弱性(CVE-2025-4428)です。これらを修正するため、IvantiはEPMMのバージョン11.12.0.5、12.3.0.2、12.4.0.2、12.5.0.1への更新を勧めています。
影響を受けるのはオンプレミス版のEPMMで、Ivanti Neurons for MDMやIvanti Sentryなどのクラウドベース製品には影響がないとしています。また、Neurons for ITSMにおける重大な認証回避の脆弱性(CVE-2025-22462)と、Cloud Services Appliance(CSA)でのデフォルト認証情報の脆弱性(CVE-2025-22460)に対するパッチも提供されています。
さらに、IvantiのVPN機器や他のセキュリティゲートウェイ製品も、過去にゼロデイ攻撃の標的にされており、FBIとCISAはこれに対する警告を行っています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 13 May 2025 14:26:00 -0400
Original URL: https://www.bleepingcomputer.com/news/security/ivanti-fixes-epmm-zero-days-chained-in-code-execution-attacks/
詳細な技術情報
Ivanti社のEndpoint Manager Mobile(EPMM)に関連するセキュリティ脆弱性についての詳細を分析します。
CVE番号と脆弱性の仕組み
- CVE-2025-4427:
- 内容: EPMMのAPIコンポーネントに存在する認証バイパスの脆弱性。
- 仕組み: 攻撃者がこの脆弱性を利用して、認証なしで保護されたリソースにアクセスできる。
- CVE-2025-4428:
- 内容: リモートコード実行(RCE)の脆弱性。
- 仕組み: 悪意のあるAPIリクエストを通じて、標的システム上で任意のコードを実行できる。
これらの脆弱性が連鎖して利用されると、認証されていない状態でリモートコードが実行される恐れがある。
攻撃手法
攻撃者は最初にCVE-2025-4427を使用して認証をバイパスし、次にCVE-2025-4428を用いて任意のコードを実行する手法を取ります。この連鎖攻撃により、完全に認証されていない場所からシステムを制御する可能性が生まれます。
潜在的な影響
- 情報漏えい: 攻撃者がシステムに直接アクセスできるため、機密情報の漏えいが発生する可能性があります。
- システムの制御下: 攻撃者がシステムを乗っ取り、悪意のある活動(例:データの改ざん、さらなる侵入活動)が行われるリスクがあります。
- サービス停止: 遠隔操作を通じてシステムを不安定にすることで、サービスの継続性が損なわれる恐れがあります。
推奨される対策
- パッチの適用: Ivantiは、これらの脆弱性を解消するために、EPMMのバージョン11.12.0.5、12.3.0.2、12.4.0.2、または12.5.0.1へのアップデートを提供しています。影響を受けるシステムには速やかにパッチを適用してください。
- セキュリティ監視の強化: 攻撃の兆候を監視するために、ログ分析や侵入検知システム(IDS)の活用を推奨します。
- サポートへの問い合わせ: Ivantiは詳細な兆候をまだ提供していないため、さらに具体的なアドバイスを得るには、Ivantiのサポートチームに直接問い合わせることが推奨されます。
- ネットワークの防御強化: 脆弱なシステムをインターネット上に不用意に公開せず、必要に応じ防火壁で保護するなどの防御策を講じます。
その他の注意点
- 本件の影響はオンプレミスのEPMM製品に限定され、クラウドベースのIvanti Neurons for MDMやその他の製品には影響がないとされています。
- これと並行して、他の脆弱性(CVE-2025-22462、CVE-2025-22460)についても即座に対応を推奨されています。
