Critical Ivanti EPMM Vulnerabilities Expose Systems to Arbitrary Code Execution Attacks
2026/03/26 gbhackers — 2026年2月に、Ivanti Endpoint Manager Mobile (EPMM) に存在する、2 つのリモート・コード実行 (RCE) の脆弱性 CVE-2026-1281/CVE-2026-1340 (Critical) が積極的に悪用された。WithSecure の STINGR Group によるインシデント・レスポンス調査により判明したのは、高度に自動化された手法を用いる攻撃者が、侵害の数秒後には侵害したサーバから機密データを窃取していたことだ。
これらのゼロデイ脆弱性により、影響を受けるソフトウェアがホストされているシステム上での任意のコード実行が、未認証の攻撃者に対して許されてしまう。
- CVE-2026-1281 (CVSS v3:9.8):認証前 RCE 脆弱性
- CVE-2026-1340 (CVSS v3:9.8):認証前 RCE 脆弱性
Hit-and-Run 型の攻撃戦略
攻撃者たちは、特別に細工した HTTP GET リクエストを送信することで、インターネット上の脆弱な EPMM サーバをスキャンした。初期の段階では、sleep コマンドなどのタイムベースの偵察行為を利用し、ターゲット上での脆弱性の有無を判定した上で攻撃を継続していた。
これらのリクエストは、start/end time パラメータを操作することで、認証前にサーバに任意のシェル・コマンドを実行させるものである。
初期の試行の多くは URL エンコードの不備により失敗したが、成功した攻撃では Java ベースの Web シェルが 403.jsp エラーページに設置された。このページに base64 エンコードされたペイロードを埋め込むことで、root 権限でのコマンド実行および持続的なバックドアの確立が可能となる。
2026年2月9日に発生したインシデントにおける攻撃者は、わずか 6秒で侵害からデータ窃取までを完了した。攻撃には AntSword の改変コンポーネントが使用され、処理の自動化と効率化が実現されていた。
最初の HTTP リクエストで Web シェルが設置され、その後のリクエストでコンパイル済み Java クラスがメモリへロードされた。第 1 段階のペイロードは偵察行為を目的とし、OS 情報やユーザー・ディレクトリなどの基本的なシステム情報を収集した。
続いて、新しい Java ランタイムを必要とする第 2 段階のペイロードが投入され、root ユーザーとしてのターミナル・コマンドの実行が可能になった。
確立した持続的なアクセスを利用する攻撃者は、Ivanti の MIFs データベースから 7 つのテーブルをダンプした。このデータベースには、認証情報/デバイス・メタデータ/管理対象モバイル端末などの機密情報が含まれている。
さらに、”/mi/filesystem” ディレクトリからシステムコンフィグ・ファイルをアーカイブし、管理者の認証情報を含むデータを取得した。
単純な HTTP リクエストによる迅速な窃取を可能にするため、窃取されたデータのアーカイブは、Web からアクセス可能なディレクトリに配置された。
その後に攻撃者は、ローカル・ファイルを削除して痕跡を隠蔽した。このインシデントが示すのは、ゼロデイ脆弱性の悪用における、高速での侵害と短時間での窃取という深刻なリスクである。
訳者後書:このインシデントにおける原因は、Ivanti EPMM に存在する 2 つの脆弱性 CVE-2026-1281/CVE-2026-1340 にあります。これらの脆弱性を悪用する未認証のリモート攻撃者は、サーバ内の任意のコマンドを外部から実行するという、きわめて深刻な状況を引き起こしました。特に、HTTP GET リクエストに含まれるパラメータ処理の不備を突く攻撃者が、特殊な命令を送信することで、サーバに正当な命令として受け入れさせたことが直接の引き金となっています。さらに、自動化された攻撃ツール AntSword により、脆弱性の確認からデータの窃取までが、わずか 6秒という驚異的な速さで実行されたことも、被害を深刻化させた一因と言えるでしょう。ご利用のチームは、ご注意ください。よろしければ、CVE-2026-1281/1340 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.