出典: Security NEXT – https://www.security-next.com/181907
米当局が「Ivanti EPM」など3製品の脆弱性悪用に警鐘
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、Ivanti Endpoint Manager(EPM)を含む3つのソフトウェア製品に存在する脆弱性が実際に悪用されていることを確認し、注意喚起を発表しました。これらの脆弱性はリモートからの不正アクセスやコード実行を許す可能性があり、速やかな対策が求められています。
主要なポイント
- Ivanti Endpoint Managerの認証回避脆弱性(CVE-2026-1603)
認証を回避できる脆弱性で、攻撃者が正規ユーザーになりすましてシステムにアクセス可能。Ivantiは2026年2月に修正パッチを公開しています。 - SolarWinds Web Help Deskのリモートコード実行脆弱性(CVE-2025-26399)
AjaxProxyコンポーネントの信頼できないデータのデシリアライズに起因し、リモートから任意のコードを実行される恐れがあります。2025年9月に対策が呼びかけられています。 - Omnissa Workspace ONE UEMのサーバサイドリクエストフォージェリ(SSRF)脆弱性(CVE-2021-22054)
管理コンソールに存在するSSRF脆弱性により、攻撃者が内部ネットワークへの不正アクセスを試みる可能性があります。2021年12月にVMwareがアドバイザリを公開しました。 - CISAの脆弱性悪用カタログ(KEV)への追加
これら3件の脆弱性は「悪用が確認された脆弱性カタログ(KEV)」に登録され、米行政機関に対して迅速な対応が求められています。
技術的な詳細や背景情報
認証回避脆弱性(CVE-2026-1603)は、システムがユーザーの正当性を検証する過程に欠陥があり、攻撃者が認証プロセスをすり抜けて管理権限を取得できる問題です。これにより、システムの完全な制御が奪われるリスクがあります。
デシリアライズの脆弱性(CVE-2025-26399)は、信頼できないデータをプログラムが復元(デシリアライズ)する際に悪意あるコードが実行される問題です。AjaxProxyコンポーネントが対象で、リモートからの攻撃が可能なため深刻です。
サーバサイドリクエストフォージェリ(SSRF、CVE-2021-22054)は、攻撃者がサーバーを経由して内部ネットワークや他のサービスに不正リクエストを送信できる脆弱性です。これにより、内部情報の漏洩やさらなる攻撃の足掛かりとなる恐れがあります。
影響や重要性
これらの脆弱性は企業や組織のITインフラに深刻な影響を及ぼす可能性があります。特に管理系ソフトウェアに存在するため、攻撃者に悪用されるとシステム全体の制御を奪われるリスクが高まります。CISAがKEVに登録し、米政府機関に迅速な対応を求めていることからも、社会的な重要性がうかがえます。
また、これらの問題は既に悪用が確認されているため、未対応のまま放置すると被害が拡大する恐れがあります。企業は速やかにベンダー提供のアップデートを適用し、脆弱性対策を徹底する必要があります。
まとめ
米CISAは「Ivanti Endpoint Manager」をはじめとする3製品の脆弱性悪用を確認し、注意喚起を行いました。認証回避やリモートコード実行、SSRFといった深刻な脆弱性が含まれており、攻撃者によるシステム侵害のリスクが高まっています。企業や組織は速やかに最新のセキュリティパッチを適用し、対策を強化することが求められます。
