Ivanti warns of two EPMM flaws exploited in zero-day attacks
2026/01/29 BleepingComputer — Ivanti が公開したのは、Ivanti Endpoint Manager Mobile (EPMM) に影響を及ぼす、2 件の深刻な脆弱性に関する情報である。これらの脆弱性 CVE-2026-1281/CVE-2026-1340 (CVSS:9.8:Critical) は、コード・インジェクションの欠陥に起因し、未認証のリモート攻撃者に任意のコード実行を許すものであり、すでにゼロデイ攻撃で悪用されている。
Ivanti は、「脆弱性情報の公開時点で、きわめて限られた数の顧客環境で、これらの脆弱性が悪用されていることを把握している」と警告している。
Ivanti は、影響を受ける EPMM バージョン向けに、脆弱性を緩和する RPM スクリプトを公開した。
- EPMM 12.5.0.x/12.6.0.x/12.7.0.x:RPM 12.x.0.x を使用。
- EPMM 12.5.1.0/12.6.1.0:RPM 12.x.1.x を使用。
ただし、これらのホットフィックスは、バージョンアップ後も保持されるわけではない。したがって、恒久的な対応が提供される前にアプライアンスをアップグレードした場合は、バージョンアップの再適用が必要であると、同社は警告している。
Ivanti が強く推奨するのは、可能な限り早急なパッチ適用である。パッチ適用においてダウンタイムは発生せず、機能への影響もないと、同社は述べている。
これらの脆弱性を恒久的に修正する EPMM バージョン 12.8.0.0 は、2026年 Q1 後半にリリース予定である。
Ivanti によると、これらの脆弱性の悪用に成功した攻撃者は、EPMM アプライアンス上で任意のコードを実行し、プラットフォームに保存されている幅広い情報にアクセスする可能性がある。
それらの情報に含まれるのは、管理者名/ユーザー名/メールアドレスなどに加えて、管理対象のモバイル・デバイスに関する電話番号/IP アドレス/インストール済みアプリケーション/IMEI や MAC アドレスなどのデバイス識別子となる。
位置追跡が有効な場合には、GPS 座標や最寄りの基地局位置など、デバイスの位置情報にもアクセスされる可能性がある。
EPMM API や Web コンソールを悪用する攻撃者が、認証設定を含むデバイス・コンフィグを変更する可能性についても、Ivanti は警告している。
悪用が確認されているゼロデイ
Ivanti のアドバイザリには、2 つの脆弱性がゼロデイとして悪用されたことが明記されているが、影響を受けた顧客が少数であるため、信頼できる侵害指標 (IOC) は把握できていないと記されている。ただし、悪用および侵害後の挙動を、管理者が検知するための技術的ガイダンスが公開されている。
Ivanti によると、2 つの脆弱性は In-House Application Distribution/Android File Transfer Configuration 機能を通じてトリガーされ、悪用の試行または成功に関する情報は、Apache アクセスログ “/var/log/httpd/https-access_log” に記録される。
アクセスログ内での悪用の検出により防御側を支援する、以下の正規表現が提供されている。
^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404この正規表現は、404 HTTP レスポンスコードを返す脆弱なエンドポイントをターゲットにする、外部リクエスト (ローカルホスト・トラフィックではない) に一致するログ・エントリを一覧表示する。
Ivanti によると、通常の正当なリクエストは HTTP 200 を返すため、攻撃の試行または成功を示す 404 を返すリクエストは強力な指標となる。ただし、デバイスが侵害された後は、攻撃者がログを改竄/削除して痕跡を隠蔽する可能性がある。そのため、オフデバイスのログが存在する場合は、そちらを優先的に確認すべきである。
侵害が疑われる場合におけるシステム・クリーンアップを、 Ivanti は推奨していない。
その代わりに推奨されるのは、侵害発生前に取得した既知のクリーンなバックアップからの EPMM を復元/アプライアンスの再構築であり、新しいシステムへのデータの移行である。
システム復旧後の対応として、Ivanti は以下を実施するよう推奨している。
- ローカル EPMM アカウントのパスワードをリセット。
- LDAP/KDC の検索用サービス・アカウントのパスワードをリセット。
- EPMM で使用している公開証明書の失効と新たな発行。
- EPMM に設定されている内部/外部サービスアカウントでのパスワード・リセット。
これらの脆弱性が影響を及ぼす範囲は、Ivanti Endpoint Manager Mobile (EPMM) だけであるが、Sentry のログについても確認するよう、Ivanti は推奨している。
Ivanti は CVE-2026-1281/CVE-2026-1340 に関する分析ガイダンスで、「EPMM は DMZ に配置され、社内ネットワークへのアクセスがほぼない形で制限できるが、Sentry はモバイル・デバイスからの、社内ネットワーク・リソースへの特定の通信のトンネリングを目的としている」と述べている。
同社は、「EPMM アプライアンスが侵害された疑いがある場合には、Sentry がアクセス可能なシステムについても、偵察やラテラル・ムーブメントの兆候の有無を確認すべきである」と付け加えている。
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、CVE-2026-1281 を Known Exploited Vulnerabilities (KEV) カタログに追加し、この脆弱性が実際に悪用されていることを確認した。
Binding Operational Directive 22-01 に基づき、連邦政府機関 (FCEB) に求められるのは、ベンダーの緩和策の適用、もしくは、脆弱なシステムの使用の停止を、2026年2月1日までに実施することである。
CISA が CVE-2026-1340 を KEV に追加しなかった理由が不明であるため、BleepingComputer は Ivanti に対して、2 つの脆弱性が悪用されていたことを確認している。
なお、2025年9月に CISA は、Ivanti Endpoint Manager Mobile (EPMM) の別の 2 件のゼロデイを悪用する攻撃で展開された、マルウェア・キットに関する分析を公開している。これらの脆弱性は 2025年5月に修正されたが、それ以前のゼロデイ攻撃で悪用されていた。
Ivanti Endpoint Manager Mobile (EPMM:旧称 MobileIron Core) において、未認証のリモート攻撃者に任意のコード実行を許す、きわめて深刻な脆弱性 CVE-2026-1281/CVE-2026-1340 が確認されました。これらの脆弱性に関しては、公開時点で限定的な環境でのゼロデイ悪用が確認されており、米 CISA も KEV に追加し、早急な対応を求めています。
今回の脆弱性は、コード・インジェクションの欠陥に起因しており、管理者権限を持たない攻撃者であっても、EPMM アプライアンスの完全な侵害が可能になります。流出の恐れがある情報に含まれるのは、管理者やユーザーの個人情報や、デバイスの識別子である IMEI や MAC アドレス、さらには、GPS 座標による位置情報があります。また、API や Web コンソールを悪用する攻撃者が、認証設定を含むデバイス・コンフィグを書き換えてしまうリスクも指摘されています。
Ivanti は、恒久的な修正版となるバージョン 12.8.0.0 を、2026年 Q1 後半にリリースする予定ですが、現在は緊急の緩和用 RPM スクリプトを提供しています。このスクリプトはダウンタイムなしで適用可能ですが、アプライアンスをアップグレードすると無効化される性質があるため、恒久パッチの適用までの対策として捉える必要があります。
よろしければ、Ivanti EPMM での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.