Ivanti EPMM の脆弱性 CVE-2025-4427/4428:依然として悪用の試行が止まらない – Shadowserver

Active Exploitation of Ivanti EPMM Zero-Day Vulnerability in the Wild

2025/05/19 gbhackers — Ivanti の Enterprise Mobility Management (EPMM) プラットフォームに存在する、深刻なゼロデイ脆弱性を狙う継続的な攻撃を、Shadowserver Foundation のセキュリティ研究者たちが確認している。その脆弱性 CVE-2025-4427 が、もう一方の CVE-2025-4428 と連鎖することで、リモートコード実行 (RCE) にいたる可能性があり、パッチ未適用のシステムにとって、重大な脅威が生じている。すでに、これらの脆弱性の情報は公開されているが、最近の監視でも、依然として多くの脆弱なインスタンスが露出しており、攻撃者たちによる悪用の試みも止まっていない。

Ivanti の Enterprise Mobility Management プラットフォームは、ユーザー組織におけるネットワーク全体をまたぐかたちで、モバイル・デバイスとアプリケーションを管理するために広く使用されているソリューションである。そこに、 これらの深刻な脆弱性が発生している。

この攻撃チェーンにおいて、脆弱性 CVE-2025-4427 イニシャル・アクセス・ベクターとして機能し、その後の CVE-2025-4428 との連鎖により、影響を受けるシステム上でのリモート・コード実行が達成される。

この危険な組み合わせを悪用する攻撃者は、企業の機密データへの不正アクセスや、悪意のコードの実行などに加えて、侵害した環境内に永続的なアクセスを確立する可能性を手にする。

前述のとおり、ユーザー企業の重要なモバイル・インフラを管理する EPMM は、攻撃者にとって、きわめて高い価値を持つ。そこに生じる、この脆弱性チェーンと、その悪用経路の単純さだ、きわめて深刻な事態を生み出していると、セキュリティ専門家たちは分析している。

数百の脆弱なインスタンスが未パッチの状態

インターネット上の脆弱な Ivanti EPMM インスタンスを特定するために、Shadowserver Foundation が包括的なスキャンを実施した。

Tree map

2025年5月15日に実施された、第一回目のスキャンでは、CVE-2025-4427 に対して脆弱だと思われるインスタンスが、約 940件検出された。

2025年5月18日に実施された、第2回目のスキャンでは、脆弱なインスタンスが 798件へと、わずかに減少していることが明らかになった。つまり、いまも一部の組織ではパッチが適用されているが、数多くのシステムが依然として危険に直面していると示唆される。

これらの脆弱なインスタンスの地理的な分布は、Shadowserver のダッシュボードで視覚化できる。このダッシュボードでは、影響を受けたシステムの、詳細な内訳がロケーション別に参照できる。

実際に観測されている活発なエクスプロイト試行と比べて、パッチ適用の対応が遅いことに、セキュリティ研究者は懸念を示している。

ハニーポット・センサーによるエクスプロイト監視

Shadowserver Foundation は、専用のハニーポット・センサーを導入し、これらの脆弱性を狙うエクスプロイト試行をリアルタイムで追跡/分析している。

honeypot sensors

これらのセンサーは、脆弱なシステムをシミュレートすることで、攻撃試行を誘引/記録し、そのエクスプロイトの手法/攻撃元/戦術に関する貴重な情報を提供している。

収集されたデータは、Shadowserver のダッシュボードを通じて公開され、送信元 IP アドレス/攻撃頻度/標的パターンなどの、エクスプロイト試行に関する時系列情報が表示される。

この監視により明らかになったのは、脆弱性の公開直後から脅威アクターたちはエクスプロイトを試行していることである。

セキュリティ専門家たちが、Ivanti EPMM を使用している組織に対して強く推奨するのは、システムへの速やかなパッチ適用である。また、迅速なパッチ適用が不可能な場合には、提供される回避策の実施が推奨される。

さらに、パッチ適用前に、すでに攻撃が試行されている可能性があるため、影響を受ける可能性のあるシステムについては、侵害の兆候の有無を徹底的に調査する必要がある。

Shadowserver Foundation は、最新の統計情報と監視データを継続的に提供し、てセキュリティチームと研究者たちが、進化する脅威の状況を追跡し、脆弱なシステムを攻撃から効果的に保護できるよう支援している。

2025/05/13 に投稿した「Ivanti EPMM の脆弱性 CVE-2025-4427/4428 が FIX:すでに悪用を確認」の続報となります。Ivanti EPMM をご利用のチームは、十分にご注意ください。よろしければ、以下の関連記事も、Ivanti で検索と併せて、ご利用ください。