Ivanti Endpoint Manager Vulnerability Lets Remote Attacker Leak Arbitrary Data
2026/02/10 CyberSecurityNews — Ivanti が公開したのは、Endpoint Manager (EPM) プラットフォームに存在する、深刻な脆弱性に対するセキュリティ更新プログラムである。新たに発見された 2 件の脆弱性 CVE-2026-1602/CVE-2026-1603 に対処するものであり、それらが悪用されると、機密データベース情報への不正アクセス/ユーザー認証情報の侵害が引き起こされる可能性がある。この更新プログラムは、バージョン 2024 SU5 として提供されており、2025年10月に事前開示されていた 11 件の Medium 深刻度の脆弱性も同時に修正するものだ。
このセキュリティ・アドバイザリでは、特に懸念される 2 件の主要な脆弱性が強調されている。1 件目の CVE-2026-1603 は、CVSS スコア 8.6 (High) と評価される認証バイパスの欠陥であり、CWE-288 に分類される。この脆弱性を悪用するリモートの未認証攻撃者は、特定の保存済み認証データや資格情報データを漏えいさせることが可能となる。ユーザー操作を必要とせず、認証なしでネットワーク経由での悪用が可能である点から、深刻なリスクをもたらすと評価されている。
2 件目の脆弱性である CVE-2026-1602 は、CVSS スコア 6.5 (Medium) と評価される SQL インジェクションの欠陥である。この脆弱性を悪用するリモートの認証済み攻撃者は、データベースから任意のデータを読み取ることが可能となるため、組織の機密情報が漏えいする恐れがある。この脆弱性は、データの機密性に影響するが、システムの完全性/可用性には影響しない。
| CVE Number | Description | CVSS Score (Severity) | Affected Versions | Resolved Version |
|---|---|---|---|---|
| CVE-2026-1602 | SQL injection allowing remote authenticated attacker to read arbitrary database data | 6.5 (Medium) | 2024 SU4 SR1 and prior | 2024 SU5 |
| CVE-2026-1603 | Authentication bypass allowing remote unauthenticated attacker to leak stored credential data | 8.6 (High) | 2024 SU4 SR1 and prior | 2024 SU5 |
これらの脆弱性の影響が及ぶ範囲は、Ivanti Endpoint Manager バージョン 2024 SU4 SR1 以下を運用している組織となる。これらの欠陥は、システムの中核となる認証およびデータベース・クエリ機構に影響を及ぼすものであり、複数のエンドポイントを管理するエンタープライズ環境においてリスクが高くなる。
すでに Ivanti は、修正済みバージョンである EPM 2024 SU5 を、Ivanti License System (ILS) 経由で提供している。管理者に対して強く推奨されるのは、直ちに更新を適用し、潜在的なリスクを軽減することである。
同社によると、これら 2 件の脆弱性は Ivanti の責任ある開示プログラムを通じて報告されたものであり、公開前に実環境での悪用は確認されていないという。
これらの脆弱性は、Trend Zero Day Initiative と連携するセキュリティ研究者により発見された。Ivanti は、セキュリティ上の欠陥を特定した研究者に謝意を示し、製品の完全性を維持するために、セキュリティ・コミュニティと協力を継続していくと述べている。
これらの脆弱性が浮き彫りにするのは、特権的なアクセス権や機密性の高い組織データを扱うエンドポイント管理ソリューションにおいて、エンタープライズ・ソフトウェア・セキュリティが直面する継続的な課題である。特に認証バイパスの欠陥は、事前認証を一切必要とせず、攻撃者が認証情報ストアへの初期アクセスを取得する可能性がある点で深刻である。
現時点で、これらの脆弱性に関連する侵害の兆候は確認されておらず、Ivanti も実環境での悪用事例の証拠はないと報告している。しかし、技術的詳細の公開により、組織が利用可能なパッチを迅速に適用する必要性が高まっている。
Ivanti Endpoint Manager を利用している組織は、バージョン 2024 SU5 への更新を最優先とすべきである。さらに、パッチ適用前に不正アクセスが発生していないことを確認するために、セキュリティ監査を実施すべきである。Ivanti は公式な開示チャネルを通じて、セキュリティ研究者からの脆弱性の報告を呼びかけている。
企業内の PC やサーバを一括管理する Ivanti Endpoint Manager で、機密情報の漏洩につながる深刻な脆弱性が発見されました。この問題の原因は、システムの中核である “認証の仕組み” と “データベースへの命令処理” に、設計上の不備があったことです。具体的には、外部から送られる特殊な通信に対して、本来は必要となる本人確認を飛び越えてしまう不具合や、データベースへの命令文を不正に書き換えられてしまう不備が存在しました。脆弱性の観点では、CVE-2026-1603 (認証バイパス) と CVE-2026-1602 (SQL インジェクション) が特定されています。ご利用のチームは、ご注意ください。よろしければ、Ivanti EPM での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.