Ivanti Patches Multiple Vulnerabilities in Secure Access, Xtraction, vTM and Endpoint Manager
2026/05/12 CyberSecurityNews — 2026年5月に Ivanti は、Patch Tuesday セキュリティ更新を公開し、4 製品にわたる複数の脆弱性を開示した。また、従来のスキャナーでは検出できない欠陥の発見に、すでに人工知能ツールが寄与していることを明らかにし、AI が発見する脆弱性の件数が増えることで、今後の開示ペースが加速する可能性があると警告している。
Ivanti 複数脆弱性の修正
2026年5月13日に Ivanti は、以下 4 製品の脆弱性に対応した:
- Ivanti Secure Access Client:CVE-2026-7431/CVE-2026-7432
- Ivanti Xtraction:CVE-2026-8043
- Ivanti Virtual Traffic Manager (vTM):CVE-2026-8051
- Ivanti Endpoint Manager (EPM):CVE-2026-8109/CVE-2026-8110/CVE-2026-8111
これらの脆弱性が実環境で悪用された事実はなく、他の Ivanti ソリューションには影響しないことを、同社は明らかにしている。
Ivanti Secure Access Client
CVE-2026-7431:機密性の高いログデータの露出
この脆弱性は、Ivanti Secure Access Client 22.8R6 未満に存在し、共有メモリ領域に対する不適切な権限割り当て (CWE-732) に起因する。ローカルの認証済み攻撃者による、機密性の高いログデータの読み取りまたは改竄が可能になる。攻撃の前提は、ローカル限定かつユーザー操作不要であるため、影響の範囲は限定されるが、マルチユーザー環境では現実的なリスクとなる。
CVE-2026-7432:ローカル権限昇格によるSYSTEM 権限の奪取
Ivanti Secure Access Client 22.8R6 未満における、競合状態 (CWE-362) を悪用するローカルの認証済み攻撃者は、タイミング競合を利用した SYSTEM 権限への昇格が可能になる。機密性/完全性/可用性に影響を及ぼす典型的な LPE (Local Privilege Escalation) 脆弱性であり、初期侵入との連鎖による完全な端末制御に至る可能性がある。
Ivanti Xtraction
CVE-2026-8043:パストラバーサルおよび任意ファイル書き込み
このアドバイザリで最も深刻な脆弱性は、Ivanti Xtraction 2026.2 未満に存在する。この脆弱性は、CWE-22 (Path Traversal) および CWE-73 (External Control of File Name) に分類され、サーバ側の高機密性ファイルの読み取りや、Web ディレクトリへの任意の HTML の書き込みを、リモートの認証済み攻撃者に対して許すものである。これにより、蓄積型 XSS 攻撃や Web シェル配置が可能となる。
Ivanti Virtual Traffic Manager (vTM)
CVE-2026-8051:OS コマンド・インジェクション
Ivanti Virtual Traffic Manager 22.9r4 未満の管理インターフェイスに存在する、OS コマンド・インジェクションの脆弱性 (CWE-78) である。管理者権限を持つリモート攻撃者による、OS レベルでのコマンド実行と、アプライアンス上で完全なリモートコード実行を許す恐れがある。管理者権限が必要 (PR:H) であるが、vTM はネットワークの重要な制御点に位置するため、侵害時の影響はきわめて大きい。
Ivanti Endpoint Manager
CVE-2026-8109:認証情報の漏洩
Ivanti Endpoint Manager Core Server 2024 SU6 未満において、危険なメソッドが公開 (CWE-749) されており、リモートの認証済み攻撃者に対して、サーバからの認証情報の抽出を許す恐れがある。機密性への影響が高く、横展開や権限昇格の足掛かりとなる。
CVE-2026-8110:エージェント権限昇格
Ivanti EPM エージェント 2024 SU6 未満における、不適切な権限割り当て (CWE-732) により、ローカル認証済み攻撃者に対して、端末上での権限昇格を許す恐れがある。大規模な環境で、広く展開されるエージェントであるため、リスクは高い。
CVE-2026-8111:SQL インジェクションによる RCE
Ivanti EPM Web コンソール 2024 SU6 未満に存在する、SQL インジェクション (CWE-89) により、リモート認証済み攻撃者 (低権限 PR:L) にリモートコード実行を許す恐れがある。Web コンソールにおける、SQLi から RCE へのチェーンは容易性が高く、ランサムウェアや国家支援攻撃者の主要標的となる。
該当する 4 製品を運用しているセキュリティ・チームは、実際の悪用が確認されていなくても、即時のパッチ適用を優先すべきである。Ivanti 製品は、国家支援攻撃者やランサムウェア攻撃者にとって高価値ターゲットであるため、未修正の環境は高いリスクを抱える。
AI による脆弱性発見の加速
Ivanti が開示したのは、複数の大規模言語モデル (LLM) を Engineering および Product Security Red Team のワークフローに統合したという情報である。同社によると、従来の静的/動的解析ツール (SAST/DAST) が見逃す脆弱性クラスの検出に、これら AI ツールは有効であるという。
今回開示された脆弱性の一部は、従来のツールではなく、AI 支援レビューにより発見された。同社が指摘するのは、エクスプロイト開発までの時間が AI により短縮されているという、業界全体における現実である。攻撃者は自動化と機械学習を用いて、新規の脆弱性の武器化を加速している。
これに対抗するために、Ivanti も AI 技術を防御側で積極的に活用し、攻撃者より先に脆弱性を発見/修正する戦略を採用している。
訳者後書:Ivanti の複数製品で見つかった脆弱性と、セキュリティ対策における AI 活用の重要性について解説する記事です。 一連の脆弱性の原因は、権限の不適切な割り当てや入力値の検証不足といった設計上の不備にあります。具体的には CVE-2026-8111 などの脆弱性により、遠隔操作や機密情報の窃取が行われるリスクがあります。 特筆すべきは、今回の欠陥の一部が AI を用いた高度な調査により発見された点です。攻撃者が AI で脆弱性を探すスピードが加速する中、防御側も AI を導入して、従来の手法では見逃されていたバグを早期に修正する ” AI 対 AI” の構図が鮮明になっています。
IoT OT Security News 
You must be logged in to post a comment.