Ivanti ITSM Flaw Could Allow Attackers to Escalate to Admin Access
2026/06/03 gbhackers — Ivanti が公開したのは、同社の Ivanti Neurons for ITSM プラットフォームに存在する深刻な脆弱性 CVE-2026-9614 (CVSS 8.8) に対処するパッチである。この脆弱性は、不適切なアクセス制御 (CWE-284) に分類され、クラウド環境とオンプレミス環境の双方に影響を及ぼす。
同社のアドバイザリには、この脆弱性は、低権限の認証済みアクセスを持つリモート攻撃者であっても悪用が可能であり、ユーザーの操作を必要とせずに権限昇格を実行できると記されている。攻撃者に対して、影響を受けるシステムの管理者権限の取得を許す可能性があるため、重要な IT 運用管理に Ivanti ITSM を利用している企業にとって深刻な問題となる。
Ivanti ITSM の脆弱性
この脆弱性は、アプリケーション内の不十分な認可チェックに起因する。それにより、攻撃者はロールベース・アクセス制御の回避が可能になるが、攻撃の複雑度が低くユーザーの操作を必要としないため、公開環境における悪用リスクが高まっている。CVSS ベクターは以下のとおりである。
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
この脆弱性の悪用に成功した攻撃者は、管理者権限を取得して機密性の高いコンフィグ・データへのアクセスを達成するだけではなく、ワークフローの操作や企業システム内でのラテラル・ムーブメントを実行する可能性がある。
Ivanti によると、この脆弱性が影響を及ぼす範囲は、Ivanti Neurons for ITSM のオンプレミス版 2025.4 以下およびクラウド版 2026.1 以下となる。この問題に対処すべく、すでに同社は、オンプレミス環境向けに 2025.4 Patch 1/2025.3 Patch 1/2025.2 Patch 1 をリリースしている。
その一方で、クラウド版については、2026.1 Patch 9/2026.2 Patch 1 において修正済みであり、修正プログラムは 2026年5月24日から 2026年5月25日にかけて自動的に適用されている。
この情報の公開時点において、Ivanti はアクティブな悪用の証拠は確認されていないと述べているが、この脆弱性の悪用は容易であり、潜在的な影響も大きいため、高いリスクが生じている。現実に、これまでにも脅威アクターたちは、企業環境への持続的なアクセスと制御権の獲得を目的として、IT 管理プラットフォームを標的とすることが多い。
オンプレミス環境を利用している組織に対して強く推奨されるのは、最新のパッチを速やかに適用することである。さらに、ITSM インターフェイスへのアクセスを制限し、ログを監視して不審な挙動を検知するとともに、特権アカウントの使用状況を監査して不正利用の可能性を確認する必要がある。
訳者後書:今回の Ivanti Neurons for ITSM における脆弱性 CVE-2026-9614 は、アプリケーション内部における不十分な認可チェックに起因します。これにより、本来であれば厳格に制限されているはずのロールベース・アクセス制御が適切に機能せず、攻撃者に回避されてしまいます。低い権限しか持たないリモート・ユーザーであっても、操作の制限をすり抜けて最上位の管理者権限を奪うことができる状態になっています。ご利用のチームは、ご注意ください。よろしければ、Ivanti での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.