Ivanti EPMM Under Attack: Zero-Day RCE Exploited by China-Linked Group UNC5221
2025/05/23 SecurityOnline — Ivanti Endpoint Manager Mobile (EPMM) に新たに発見されたゼロデイ脆弱性 CVE-2025-4428 が、中国のサイバー・スパイである UNC5221 によって積極的に悪用されていると、脅威インテリジェンス企業 EclecticIQ が報告している。この脆弱性は、認証不要のリモートコード実行 (RCE) を可能にするものであり、複数の業界にわたる企業モバイル機器インフラを侵害する連鎖攻撃の一部となっている。
2025年5月15日に公開された CVE-2025-4428/CVE-2025-4427 は、Ivanti EPMM バージョン 12.5.0.0 以下のバージョンに影響を与える。これらの脆弱性の悪用に成功した未認証の攻撃者は、エクスプロイトを連鎖させ、完全なリモート・アクセスを獲得する可能性を得る。EclecticIQ は、これらの脆弱性が公表された当日に、すでに実環境での悪用が観測されたと報告している。
EclecticIQ はレポートで、「我々は、インターネットに接続された Ivanti EPMM 導入を標的とした、この脆弱性チェーン の活発な悪用を実環境で確認した」と述べている。この脆弱性の被害対象は、医療/通信/航空/地方自治体/金融/防衛などの重要分野にわたり、その標的はヨーロッパ/北米/アジア太平洋地域の広範な地域で確認されている。
この攻撃は中国と関係のある脅威グループの UNC5221 の仕業であると、EclecticIQ は推定している。UNC5221 は、エッジネットワーク機器やエンタープライズ向けソフトウェアの脆弱性を戦略的に悪用することで知られている。UNC5221 は Ivanti の正規コンポーネントを流用し、認証情報/個人識別情報 (PII) /Office 365 トークンなどの機密情報を秘密裏に窃取している。
Eclecticiq の研究者らは、「UNC5221 は、EPMM の内部アーキテクチャを深く理解しており、正規のシステム・コンポーネントをデータ窃取のために利用している」と強調している。
初期アクセスは、認証不要のRCE脆弱性 (/mifs/rs/api/v2/ エンドポイント) を利用して行われ、?format= パラメータを悪用して任意の Java コマンドを実行する手法が使われた。
${"".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null).exec("REMOTE-COMMAND").waitFor()}
このリフレクション技術により、攻撃者は永続的なコマンド実行やリバースシェル・アクセスを確立する。また、KrustyLoader と呼ばれるマルウェア ELF ローダーを AWS S3 バケット経由で配信し、暗号化されたペイロードをメモリ上で直接実行していた。
Eclecticiq のレポートには、「最終的なペイロードはシェルコードとして直接メモリに読み込まれ、隠密かつ持続的なリモート・アクセスを可能にする」と記されている。
侵入に成功した UNC5221 は、/mi/files/system/.mifpp に保存されたハードコードされた認証情報を悪用して、mifs のバックエンドデータベースにアクセスした。これにより、Office 365 統合トークン/LDAP のマッピング/モバイル・デバイスのメタデータなどが窃取された。
EclecticIQ は、「これらの認証情報により、攻撃者は、モバイル機器の IMEI/電話番号/位置情報/SIM 詳細/LDAP ユーザー/Office 365 リフレッシュ・トークンやアクセス・トークンなどの情報へのアクセスが可能になる」と報告している。
さらに攻撃者は、ネットワーク内に留まるため、FRP (Fast Reverse Proxy) を展開し、Auto-Color というバックドアに関連するインフラも利用していた。このバックドアは、以前から中国のスパイ活動で使われてきたものである。中継に使用された IP アドレスの一つは 27.25.148[.]183 があり、これは過去の SAP NetWeaver の脆弱性攻撃でも確認されていた。
EclecticIQ は、「我々は、観測された Ivanti EPMM の脆弱性攻撃活動が、UNC5221 に非常に高い確度で関連していると評価していると結論付けている。このグループの戦術には、インフラの再利用や侵入後の手口に一貫性が見られ、その被害は以下のような注目度の高い組織に及んでいる:
- ヨーロッパ:自治体/医療機関/航空宇宙企業/通信事業者
- 北米:米国のインフラ運営企業/サイバーセキュリティ・ベンダー/医療テクノロジー企業
- アジア太平洋:韓国の銀行/日本の電子機器メーカー
Ivanti EPMM は企業のモバイルデバイス管理に用いられていることから、今回の侵害により数千の企業端末に対する監視が可能になったとされる。この侵害は数千の企業接続エンドポイントに対する監視を可能にする。EclecticIQ は、このキャンペーンが中国の戦略的情報活動の一環である可能性が高いと警告しており、「中国関連の脅威アクターが、窃取したデータを国家支援のサイバースパイ活動に再利用するという戦略的意図を、UNC5221 は体現している」と指摘している。
すでに Ivanti は、これらの脆弱性 CVE-2025-4427/CVE-2025-4428 に対するパッチを公開している。Ivanti EPMM のユーザー組織に強く推奨されるのは、これらの更新を直ちに適用し、特に EPMM 展開がインターネットに接続されている場合、侵害の兆候を監査することである。
Ivanti EPMM の CVE-2025-4428/CVE-2025-4427ですが、2025/05/20 には「CISA KEV 警告 25/05/19:Ivanti EPMM の脆弱性 CVE-2025-4427/4428 を登録」という記事がポストされています。なかなか、悪用が止まらないようです。よろしければ、以下のリストも、ご参照ください。
2025/05/19:EPMM の CVE-2025-4427/4428 の悪用試行
2025/05/13:EPMM の CVE-2025-4427/4428 の FIX と悪用
IoT OT Security News 
You must be logged in to post a comment.