Ivanti Endpoint Managerに深刻XSS、認証不要で管理者乗っ取り - SecureShield セキュリティニュースまとめ

Source:https://www.bleepingcomputer.com/news/security/ivanti-warns-of-critical-endpoint-manager-code-execution-flaw/

🛡 概要

Ivantiは、Endpoint Manager（EPM）に関する重大な脆弱性（CVE-2025-10573）と複数の高深刻度脆弱性（CVE-2025-13659, CVE-2025-13662 ほか）への修正を公開しました。CVE-2025-10573は未認証の攻撃者が低複雑度の格納型XSSを通じて管理者のブラウザ上で任意のJavaScriptを実行でき、管理者セッションの乗っ取りにつながる恐れがあります。IvantiはEPM 2024 SU4 SR1で修正済みとし、EPMはインターネット公開を想定していないためリスクは限定的と述べていますが、Shadowserverの観測では米国569、ドイツ109、日本104など、外部公開EPMが多数確認されています。加えて、CVE-2025-13659およびCVE-2025-13662は未認証でのコード実行に至る可能性があるものの、ユーザー操作や不審なコアサーバーへの接続・不正な構成ファイルの取り込みが前提条件です。現時点で悪用の公的報告はありません。

🔍 技術詳細

CVE-2025-10573はEPMのプライマリWebサービスに対する未認証アクセスを足掛かりに、攻撃者が「偽の管理対象エンドポイント」をEPMサーバーへ参加させ、管理者Webダッシュボード上に悪性スクリプトを混入（格納型XSS）させる問題です。管理者が通常業務としてダッシュボード内の該当インターフェースを閲覧すると、ブラウザでJavaScriptが実行され、セッションハイジャック、CSRF的操作、管理APIの不正呼び出しなどクライアント側での権限乱用が発生し得ます。XSSの性質上、サーバー側での直接的RCEではなく、被害は主に管理者のブラウザ・セッション支配に起因しますが、管理者権限でEPMポリシーの変更やスクリプト配布が可能である点から、結果的に広範な影響につながり得ます。

同日公表の高深刻度群では、CVE-2025-13659およびCVE-2025-13662が、未認証の状態からでも、ユーザーが不正なコアサーバーに接続する、または不審な構成ファイルを取り込むといったユーザー操作をトリガーとして任意コード実行に至る可能性が指摘されています。いずれもユーザーの関与が必要で、標準的な運用（信頼済みのコアサーバーのみ接続、署名・出所確認済みの構成のみ取り込み）であればリスクは抑制できます。CVSSスコアは本稿執筆時点で公表情報を確認できていません（公開され次第の追補を推奨）。

なお、2024年にはCISAがEPMに関するCVE-2024-13159, -13160, -13161を既知悪用（KEV）として指定し、同年10月にはCVE-2024-29824についても政府機関に速やかな是正を命じています。EPMの外部露出や遅延パッチは現実的な攻撃対象となりやすく、今回の修正も優先度高での適用が必要です。

⚠ 影響

管理者セッションの乗っ取りによるEPMポリシー改変、スクリプト・パッケージ配布、エージェント設定の改ざん
組織内エンドポイント群への横展開の足掛かり（EPMの管理権限悪用）
不正な構成取込や不信コア接続を誘導された場合の任意コード実行リスク

🛠 対策

直ちにEPM 2024 SU4 SR1へ更新。メンテナンス手順に従いバックアップを取得のうえ実施
EPMの管理UI・Webサービスをインターネットに公開しない（VPN/ゼロトラスト経由、ソースIP制限）
管理者閲覧時の安全策：最新ブラウザ、拡張機能の最小化、未知ドメインへの自動送信を制限、CSP/Referrer-Policyの適用（可能範囲でリバースプロキシ側で強化）
不審なコアサーバーへの接続や署名不明の構成ファイル取り込みを禁止。変更フローに四眼原則を導入
Ivantiの勧告とリリースノートの定期確認。影響資産の即時棚卸しとパッチ適用SLAの短縮

📌 SOC視点

Webアクセスログ（EPMコア）: 未認証のデバイス登録/参加イベントの急増、User-Agent/送信元IPの異常、同一IPからの大量Enroll試行
管理者UIアクセス: 管理者ダッシュボード表示直後の外向きHTTP(S)リクエスト、未知ドメインへのBeacon、Cookieアクセス異常（セッションIDの再利用・地理的乖離）
EDR: 管理端末ブラウザのスクリプト起因挙動（クリップボード/Cookie読み取りを試みる拡張、ブラウザ外プロセス起動の試行）
サーバー側: EPMサービス配下での想定外の子プロセス生成、構成ファイル取り込み直後のファイル改変・新規バイナリ作成
検知強化: CSPレポート、WAFのXSSシグネチャ、Enroll APIのしきい値監視、管理者アクションのUEBA

📈 MITRE ATT&CK

Initial Access: T1190（Exploit Public-Facing Application）— EPM Webサービスの脆弱性（格納型XSS）を悪用
Execution: T1059.007（JavaScript）— 管理者ブラウザでの任意JavaScript実行
Initial Access: T1204（User Execution）— 管理者がダッシュボードを閲覧する、構成を取り込む等のユーザー操作がトリガー
Credential Access/Defense Evasion: T1550.004（Use of Web Session Cookie）— JSでセッションCookieやトークンを悪用し管理権限を奪取し得る

🏢 組織規模別助言

小規模（〜50名）: 直ちに外部公開停止、VPN必須化。管理者は最小権限1名に集約、更新はメンテ時間帯に実施
中規模（50〜500名）: 変更管理と四眼原則、EPM管理ネットワークの分離、Enroll APIにレート制限。パッチSLAを14日以内に設定
大規模（500名超）: ASM（外部露出監視）でEPMを継続スキャン、IdP連携MFAで管理UIを保護。SOARでEnroll異常と管理アクションを自動隔離

🔎 類似事例

2024年、CISAはEPMのCVE-2024-13159/-13160/-13161を既知悪用として指定し、同年10月にはCVE-2024-29824の是正を通達しました。EPM関連の欠陥は反復的に狙われており、外部露出の抑止と迅速なパッチ適用が鍵です。CVSSは本稿時点で今回の2025年CVEについて公開確認できません。公開され次第、リスク評価を更新してください。