Ivanti Patches 13 Endpoint Manager Flaws Allowing Remote Code Execution
2025/10/14 gbhackers — Ivanti が公開したのは、Ivanti Endpoint Manager (EPM) に存在する 13件の脆弱性である。内訳は、特権昇格やリモートコード実行を可能にする深刻な脆弱性2件 (High) と、SQL インジェクションの脆弱性 11件 (Medium) である。実環境での悪用は確認されていないが、パッチは開発中である。したがって、Ivanti が顧客に対して強く推奨するのは、今後のアドバイザリの確認した上での、最新サポート・リリースへの移行と緩和策の適用である。
Ivanti が強く指摘するのは、EPM 2022 が 2025年10月にサポート終了となることだ。その一方で、このリスクを大幅に軽減する重要なセキュリティ強化が、EPM 2024 に取り込まれていると強調している。
サポート対象バージョン向けの修正は二段階で提供される予定である。安全ではないデシリアライゼーションとパス・トラバーサルの脆弱性に関しては、2025年11月12日に提供予定の Ivanti EPM 2024 SU4 で修正される。SQL インジェクションの脆弱性群は、2026年 Q1 に提供予定の EPM 2024 SU5 で修正される予定である。それまでの間、管理者にとって必要なことは、回避策の実施による脆弱性の影響の軽減となる。
最も深刻な脆弱性は、以下の2件である。
- CVE-2025-11622 (CVSS 7.8):安全ではないデシリアライゼーション (CWE-502) の脆弱性を悪用する、ローカル認証済みの脅威アクターによる権限昇格。
- CVE-2025-9713 (CVSS 8.8):パス・トラバーサル (CWE-22) の脆弱性を悪用する脅威アクターによるリモート・コード実行。
残りの 11 件の CVE (CVSS 6.5) は、認証済みリモート・ユーザーに対してデータベースの任意のデータ閲覧を許す、SQL インジェクション (CWE-89) の脆弱性である。
Ivanti は、これらの問題を報告した Trend Micro の Zero Day Initiative および研究者 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044 に対し謝意を表明している。
緩和策は脆弱性ごとに異なる。CVE-2025-11622 のケースでは、EPM 2024 SU3 SR1 を適用済みの顧客はリスクが軽減される。このアップグレードを未適用の顧客に推奨されるのは、信頼性の高いファイアウォールを用いてリモートアクセスを制限し、任意の高帯域 TCP ポートへのアクセスをブロックして、EPM Core サーバーへのアクセスをローカル管理者のみに制限することだ。
脆弱性 CVE-2025-9713 に関して推奨されるのは、信頼できないコンフィグ・ファイルを EPM Core サーバーにインポートしないことである。やむを得ない場合は、ファイル内容を慎重に確認すべきだが、この操作には本質的にリスクが伴うことを認識する必要がある。
SQL インジェクションの一連の脆弱性については、管理者が Reporting データベース・ユーザーを削除することで影響を回避できると、Ivanti は指摘している。ただし、EPM のレポート機能を実行するためには、読み取り専用のレポート・ユーザーが必要なため、この措置によりレポート機能が無効化されるというトレードオフが生じる。
| CVE | Description | CVSS (Severity) | CWE |
| CVE-2025-11622 | Insecure deserialization allows local privilege escalation | 7.8 (High) | CWE-502 |
| CVE-2025-9713 | Path traversal allows RCE; UI required; unauthenticated | 8.8 (High) | CWE-22 |
| CVE-2025-11623 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62392 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62390 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62389 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62388 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62387 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62385 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62391 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62383 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62386 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
| CVE-2025-62384 | SQL injection allows data read (authenticated) | 6.5 (Medium) | CWE-89 |
影響を受けるバージョンは、パッチが未提供の Ivanti EPM 2024 SU3 SR1 以下と、サポート終了に伴い EPM 2024 へのアップグレードが必要な Ivanti EPM 2022 SU8 SR2 以下である。組織にとって必要なことは、更新プログラムが提供されるまでの間、管理アクセス権の見直し/ファイアウォールルールの強化/信頼できないインポートの回避を通じて攻撃対象領域を縮小することだ。
アップグレード計画では、Ivanti EPM 2024 への移行と SU4 および SU5 の展開準備を優先すべきだ。また、移行期間中のリスクを軽減するために、厳格な最小権限の適用/ネットワーク・セグメンテーション/入力検証を実施する必要がある。
Ivanti の一連の脆弱性ですが、設計上の入力検証不足と権限管理の甘さに原因があるのでしょう。具体的には、デシリアライズ処理やテンプレート評価で特殊要素を適切に無効化できておらず、パスやSQLへの未検証入力が実行されてしまいます。それに加えて、サポート切れ間近の旧バージョンが残ることで修正の遅延リスクが増し、共有やマルチテナント環境では管理者権限の侵害が広範に及びかねないと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Ivanti で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.