2025/05/13 SecurityOnline — Ivanti が発表したのは、Endpoint Manager Mobile (EPMM) に存在する2つの脆弱性 CVE-2025-4427/CVE-2025-4428 に対処する、セキュリティ・アップデートのリリースである。これらの脆弱性が連鎖すると、未認証の攻撃者に対して、リモート・コード実行 (RCE) を許す可能性が生じる。この情報が公開される前に、限られた数の顧客が悪用の被害に遭ったことを、同社は確認している。Ivanti はアドバイザリで、「これらの脆弱性を連鎖させる攻撃者が、その悪用が成功すると、未認証でのリモート・コード実行につながる可能性がある」と述べている。
Ivanti がセキュリティ・アップデートで明確にするのは、これらの脆弱性は、Ivanti 独自のコードに由来するものではなく、EPMM 内で利用される OSS ライブラリに関連していることだ。
このセキュリティ・アドバイザリでは、以下の2つの脆弱性について詳細に説明している:
CVE-2025-4427 (CVSS:5.3:Medium): 認証バイパス:認証制御のバイパスにより、有効な認証情報を必要とすることなく、EPMM システム上の保護されたリソースへのアクセスが可能になる。
CVE-2025-4428 (CVSS:7.2:High):アクセス権を持つリモート攻撃者に対して、標的のシステム上での任意のコード実行を許す。CVE-2025-4427 との連鎖により、脅威が大幅に増大する。
Ivanti は、「この情報の開示時点で、ごく少数の顧客において、このソリューションが悪用されたことを認識している」と警告している。
この脆弱性の影響を及ぼす範囲は、以下の EPMM バージョンとなる:
- 11.12.0.4 以下
- 12.3.0.1 以下
- 12.4.0.1 以下
- 12.5.0.0 以下
ユーザーに対して強く推奨されるのは、以下のセキュア・ビルドへのアップグレードである:
- 11.12.0.5
- 12.3.0.2
- 12.4.0.2
- 12.5.0.1
一連のパッチは、Ivanti の Product Downloads Portal からダウンロードできる。
ない、速やかなアップグレードが不可能な組織に対して、Ivanti は以下を推奨している:
- 組み込みのポータル ACL または、外部 WAF を使用して、API アクセスをフィルタリングする
- Windows Autopilot や Microsoft Graph API などの、重要な統合に支障をきたす可能性のある、広範な ACL ブロックの使用は避ける。
このアドバイザリでは、「組み込みのポータル ACL 機能または、外部 WAF を使用して、API アクセスをフィルタリングする場合には、ユーザーのリスクは大幅に軽減される」と説明されている。
さらに、Ivanti サポートにリクエストすると、手動での緩和策として、RPM ファイルが提供される。管理者はシステム CLI に SSH でアクセスし、ファイルをインストールした後に、システムを再起動してパッチを適用する必要がある。
Ivanti EPMM の脆弱性が修正されましたが、すでに悪用が確認されているとのことです。先月にも、Ivanti 製品を悪用した攻撃がいくつか報告されています。Ivanti EPMM をご利用のチームは、十分にご注意ください。よろしければ、以下の関連記事も、Ivanti で検索と併せて、ご利用ください。
2025/04/24:Ivanti の CVE-2025-0282 を狙う DslogdRAT
2025/04/07:Ivanti の脆弱性などが CISA KEV に登録
2025/04/03:Ivanti ICS:中国 APT の UNC5221 による悪用を観測
2025/03/30:Ivanti が標的:RESURGE という新種のマルウェア
IoT OT Security News 
You must be logged in to post a comment.