CISA Adds Actively Exploited Ivanti EPMM Zero-Day to KEV Catalog
2025/05/20 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Endpoint Manager Mobile (EPMM) に影響を及ぼす2件の深刻なゼロデイ脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。脆弱性 CVE-2025-4427 は認証バイパスを、脆弱性 CVE-2025-4428 はリモートコード実行を可能にするものであり、広く使用されている OSS ライブラリの安全が確保されない実装に起因するものだ。連邦政府機関および民間組織は、拘束的運用指令 22-01 に基づき、2025年6月9日までに緩和策を適用する必要がある。
CISA の KEV カタログへの追加が強調するのは、グローバル組織におけるモバイル・デバイス/セキュリティ・ポリシー/アプリケーションなどの管理を担当する、Ivanti のエンタープライズ・モビリティ管理ソリューションにおける、これらの脆弱性の深刻さである。
1つ目の脆弱性 CVE-2025-4427 は、Spring Framework の不適切なコンフィグにより、未認証の攻撃者に対して、EPMM API コンポーネントの認証メカニズム・バイパスを許すものである。この脆弱性 (CWE-288) により、攻撃者は認証情報を必要とすることなく、機密性の高い管理インターフェイスやユーザー・データにアクセスする可能性を手にする。
2つ目の脆弱性 CVE-2025-4428 は、Hibernate Validator ライブラリ (CWE-94) の不適切な検証プロセスにより、認証済の攻撃者に対して、API 経由での任意のコード実行を許すものだ。このコード・インジェクション脆弱性の悪用に成功した脅威アクターは、権限の昇格/マルウェアの展開に加えて、侵害したシステムからのデータの窃取を可能にするとされる。
どちらの脆弱性も、現時点においてランサムウェア攻撃との関連は確認されていないが、これらの脆弱性が組み合わされることで、イニシャル・アクセスやラテラル・ムーブメントのための強力な攻撃ベクターが発生する。
悪用経路の技術分析
CVE-2025-4427 における認証バイパスは、Spring Framework のセキュリティ・コンテキストが API リクエスト・ヘッダーを適切に検証しないことに起因している。この欠陥を悪用する攻撃者は、セッション・トークンを偽装や、エンドポイントの権限操作などを可能にする。この脆弱性は、EPMM の管理エンドポイントを標的とする、細工された HTTP リクエストにより悪用される可能性があり、他の脆弱性と組み合わせると、システム全体の侵害につながると、セキュリティ研究者たちは指摘している。
CVE-2025-4428 のコード・インジェクション脆弱性は、Hibernate Validator のデータ検証ルーチンにおける、入力データに対する不適切なサニタイズに起因する。この欠陥を悪用する攻撃者は、システム上の昇格した権限で API パラメータを介して、悪意のペイロードの送信/実行の可能性を手にする。この攻撃ベクターは、不適切な入力検証を悪用することで、HTTP リクエストの改竄によるコマンド実行を可能にする。つまり、Java ベースのエンタープライズ・システムを標的とする、最近のエクスプロイトの傾向に沿ったものと言える。
2つの脆弱性が影響を及ぼす範囲は、Ivanti が 2025年5月のセキュリティ・アップデートで修正した、EPMM のバージョン 11.8〜11.12 となる。しかし、CISA はパッチ・リリース前の実環境での悪用を確認している。したがって、カスタム API 統合に時間を費やす組織や、更新サイクルが遅延しがちな組織は、依然として高いリスクに直面していると思われる。
ネットワーク防御者向けの緩和戦略
CISA は連邦政府機関に対して、6月9日の期限までに、Ivanti への速やかなパッチ適用もしくは、EPMM の使用中止を義務付けている。CISA は民間組織に対しても、以下のことを推奨している。
- EPMM インスタンスを重要なネットワークリソースから分離する。
- API トラフィックを監視し、悪用を示唆する異常なパターンを確認する。
- EPMM システムの侵害の兆候を監査するために、フォレンジックを実施する。
その一方で、Ivanti のアドバイザリが強く推奨するのは、API の認証ロジックのリファクタリングであり、Hibernate 操作に対して厳格な入力検証を実装した、EPMM 11.13へのアップグレードとなる。
速やかなパッチ適用が不可能な組織の場合には、一時的な回避策として挙げられるのは、未使用の API エンドポイントを無効化し、ネットワーク・レベルのアクセス制御を強化することだ。
これらの脆弱性が浮き彫りにするのは、エンタープライズ・ソフトウェアにおけるサードパーティ・ライブラリ依存に内在するリスクである。
CISA KEV リストは、防御側における優先順位付けの重要なツールとして機能し、積極的に悪用されている脅威に対する、集中的な修復作業を可能にする。
脅威アクターが、エンタープライズ・モビリティ・インフラを標的とするケースが増えているため、サプライチェーンのリスクを軽減するためにも、プロアクティブな脆弱性管理が不可欠となる。
Ivanti EPMM の脆弱性 CVE-2025-4427/4428が CISA KEV に登録されました。当該製品をご利用のチームは、十分にご注意ください。これらの脆弱性については、以下の記事でも取り上げています。よろしければ、CISA KEV ページと併せて、ご参照ください。
2025/05/19:EPMM の CVE-2025-4427/4428 の悪用試行
2025/05/13:EPMM の CVE-2025-4427/4428 の FIX と悪用
IoT OT Security News 
You must be logged in to post a comment.