記事本文(要約)
今月、Ivantiのゼロデイ脆弱性を悪用した攻撃者が、他のエッジデバイスへのゼロデイ攻撃も行っていたことが判明しました。Ivantiは、Endpoint Manager Mobile (EPMM) VPNにおける2つの脆弱性、CVE-2025-4427とCVE-2025-4428がリモートコード実行攻撃に利用されたことを発表しました。Wizの研究者は5月16日からのこれらの脆弱性の悪用活動を観察し、同じIPアドレスが過去の攻撃でも使用されていたことを発見しました。攻撃者はPAN-OSを含む他のエッジデバイスも標的にしており、利用しているSliverというC2フレームワークが共通しています。WizやArctic Wolf Labsは、これらの攻撃がゼロデイ脆弱性の公表とベンダーのパッチ適用の間の隙を狙っていることを指摘し、Ivantiのユーザーは新バージョンへのアップグレードとネットワークレベルでの制限を行うべきと推奨しています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 21 May 2025 21:24:57 GMT
Original URL: https://www.darkreading.com/cyberattacks-data-breaches/ivanti-epmm-exploitation-previous-zero-day-attacks
詳細な技術情報
以下は、提供された文章に基づくセキュリティ分析です。
CVE番号
- CVE-2025-4427: 中程度の深刻度の認証バイパス脆弱性
- CVE-2025-4428: 高度な深刻度のリモートコード実行(RCE)脆弱性
脆弱性の仕組み
- CVE-2025-4427: この脆弱性は、認証プロセスをバイパスすることで、不正なユーザーが制限された機能にアクセスできる可能性があります。
- CVE-2025-4428: リモートでコードを実行することが可能な脆弱性で、不正なコードをシステム上で実行できるため、完全なシステム制御を奪われるリスクがあります。
攻撃手法
- 脅威アクターは、これらの脆弱性をチェーン化して使用し、EPMM VPN製品に対するRCE攻撃を行いました。
- SliverというC2(コマンド&コントロール)フレームワークが使用されており、特定のIPアドレス(77.221.158[.]154)が過去の攻撃でも共通して使用されています。
- パブリックに利用可能なPoC(概念実証)コードを使用し、脆弱性を悪用しました。
潜在的な影響
- システムの全面的な乗っ取りや不正な操作による業務システムの停止や情報漏洩。
- 特に会社のファイアウォールやVPN装置が悪用されることで、内部ネットワーク全体への悪影響が及ぶ可能性があります。
推奨される対策
- ソフトウェアのアップデート: Ivanti製品(EPMMの特定バージョン)をアップデートすること。具体的には、EPMMバージョン11.12.0.5、12.3.0.2、12.4.0.2、または12.5.0.1へのアップグレードが推奨されています。
- ネットワークレベルの制限実施: パッチが適用されるまで、EPMMエンドポイントに対するネットワークレベルの制限を設定する。
- 監視の強化とトラフィック制御: Sliver活動のネットワーク上の監視を強化し、77.221.158[.]154からのトラフィックをブロックする。
- セキュリティ意識の向上: エッジデバイスの脆弱性に対する最新情報に常に注意を払い、早急な対策を講じる。
