出典: Security NEXT – https://www.security-next.com/181968
「Ivanti DSM」に権限昇格の脆弱性が発見され、アップデートで修正
PCやサーバのライフサイクル管理を行う「Ivanti Desktop and Server Management(DSM)」に、ローカルユーザーが権限を不正に昇格できる脆弱性が発見されました。Ivanti社は2026年3月のパッチチューズデーに合わせて修正アップデートを公開し、利用者に速やかな適用を呼びかけています。
主要なポイント
- 脆弱性の内容:一部の公開メソッドを通じて、ローカルユーザーが管理者権限などの高い権限を取得可能な権限昇格の脆弱性(CVE-2026-3483)が確認されました。
- 影響範囲:Ivanti DSMを利用している組織のPCやサーバが対象で、悪用されるとシステムの制御を奪われる恐れがあります。
- リスク評価:共通脆弱性評価システム(CVSSv3.0)でスコア7.8と高いリスクレベルに分類され、重要度は「高(High)」と評価されています。
- 対応状況:Ivanti社は脆弱性を修正したバージョン「2026.1.1」をリリースし、ユーザーにアップデートの適用を強く推奨しています。
- 悪用状況:現時点で脆弱性の悪用は確認されていませんが、外部からの報告により早期発見・対応が行われました。
技術的な詳細や背景情報
今回の脆弱性は、Ivanti DSMの一部メソッドが適切なアクセス制御を行っていなかったことに起因します。ローカルユーザーがこれらのメソッドを利用することで、本来与えられていない管理者権限を取得できる可能性がありました。権限昇格の脆弱性は、攻撃者がシステムの深部にアクセスし、マルウェアのインストールや情報の改ざんを行う足がかりとなるため、非常に危険です。
CVSSv3.0のスコア7.8は、攻撃の複雑さや影響範囲、認証要件などを総合的に評価した結果であり、「高」レベルの脆弱性として扱われます。Ivantiは毎月第2火曜日に定例のセキュリティアップデートを公開しており、今回もそのタイミングでアドバイザリを発表しました。
影響や重要性
Ivanti DSMは多くの企業や組織でPCやサーバの管理に利用されており、脆弱性が悪用されるとシステム全体の安全性が損なわれる恐れがあります。特に権限昇格は攻撃者にとって重要なステップであり、これを利用して内部ネットワークに深く侵入されるリスクがあります。
今回の脆弱性は現時点で悪用報告がないものの、早期に発見・修正されたことは被害拡大を防ぐ上で非常に重要です。利用者は速やかにアップデートを適用し、システムの安全性を確保する必要があります。
まとめ
IvantiのPC・サーバ管理製品「DSM」において、ローカルユーザーが権限を不正に昇格できる脆弱性(CVE-2026-3483)が発見されました。高リスクと評価されており、Ivanti社は修正済みのバージョン「2026.1.1」をリリースしています。利用者は速やかにアップデートを適用し、システムの安全を確保しましょう。今後も定期的なセキュリティアップデートの適用が重要です。
