🛡 概要
米国のサイバーセキュリティおよびインフラセキュリティ庁(CISA)は、Ivanti Endpoint Manager Mobile(EPMM)の脆弱性を悪用した攻撃におけるマルウェアの分析を公表しました。これらの脆弱性は、EPMMのAPIコンポーネントにおける認証バイパス(CVE-2025-4427)と、任意のコード実行を可能にするコードインジェクション脆弱性(CVE-2025-4428)です。Ivantiは5月13日にこれらの問題に対処しましたが、攻撃者は既にゼロデイ攻撃としてこれらの脆弱性を悪用していました。
🔍 技術詳細
具体的には、CVE-2025-4427は認証バイパスの脆弱性であり、CVE-2025-4428はコードインジェクションの脆弱性です。これらはIvanti EPMMのバージョン11.12.0.4、12.3.0.1、12.4.0.1、12.5.0.0およびそれ以前のリリースに影響を及ぼします。CISAは、攻撃者が/mifs/rs/api/v2/エンドポイントをHTTP GETリクエストでターゲットにし、?format=パラメータを使用して悪意のあるリモートコマンドを送信したと報告しています。これにより、システム情報の収集やLDAP認証情報の抽出が可能になりました。分析されたマルウェアセットには、異なるローダーが含まれており、それぞれがサーバー上でコードを注入・実行するための悪意のあるリスナーを持っています。
⚠ 影響
これらの脆弱性により、攻撃者は企業の内部システムに不正アクセスし、機密データを抽出することが可能になります。特に、モバイルデバイス管理(MDM)システムは高価値資産として狙われやすく、追加のセキュリティ対策が求められます。CISAは、攻撃を受けた組織に対し、影響を受けたホストを隔離し、証拠を収集・レビューし、完全なフォレンジックディスクイメージを作成することを推奨しています。これにより、さらなる情報漏洩やシステムの悪用を防ぐことができます。
🛠 対策
CISAは、影響を受けたIvanti EPMMを直ちにパッチ適用し、モバイルデバイス管理(MDM)システムを高価値資産として扱うことを推奨しています。これには、追加のセキュリティ制限や監視が必要です。また、CISAは、マルウェアや類似のファイルを発見した場合には、影響を受けたホストを隔離し、詳細な分析を行うことが重要であると強調しています。組織は、CISAが提供するインジケーターオブコンプロマイズ(IOCs)やYARAルールを活用して、攻撃の検出に努めるべきです。
