「Ivanti EPMM」狙う脆弱性連鎖攻撃、米当局がマルウェアを解析

攻撃者は「Ivanti EPMM」のサーバにおけるAPIに対し、細工したHTTPリクエストを送信することで侵害。リモートよりコマンドを実行してシステムの情報を収集するほか、ファイルのダウンロード、ネットワーク構造のマッピング、LDAP認証情報の窃取などを行っていた。

具体的には、「Apache Tomcat」を標的とし、HTTPリクエストを待ち受け、暗号化されたペイロードを受信し、復号、実行する攻撃。またパラメータから復号したデータをあらたなクラスとして実行する手口を確認しており、いずれも持続的に攻撃が展開されていた。

同庁では、「Ivanti EPMM」を最新版へアップデートし、監視、制限すること、また多要素認証など基本的なセキュリティ強化策を徹底するよう強く呼びかけている。

あわせて「IoC（Indicators of Compromise）」情報や、「YARA」「SIGMA」などのルールを提供。類似したマルウェアを検出した場合は、ネットワークから遮断。実行中のプロセスや認証、ネットワーク接続などの状況を調査し、影響を受けたホストの完全なフォレンジックディスクイメージを取得してCISAと共有することなどを求めている。

また調査の結果、ラテラルムーブメントにより攻撃が広範に展開された可能性がある場合は、組織のインシデント対応計画に従い、脅威の検知、封じ込めを行うよう求めている。

（Security NEXT - 2025/09/19 ） ツイート

PR

関連記事

Ivantiのエンドポイント管理やリモートアクセス製品に脆弱性
「ICS」や「Avalanche」などIvanti複数製品に脆弱性
「EPM」や「EPMM」などIvanti複数製品に脆弱性 - 悪用は未確認
「Ivanti Workspace Control」に複数脆弱性 - アップデートを公開
米政府、脆弱性6件の悪用に注意喚起 - メールや社内チャットなども標的に
「Ivanti EPMM」にOSS起因の脆弱性、すでに悪用も - 国内で機器稼働
「Ivanti Neurons for ITSM」に認証回避の脆弱性 - 管理者権限奪取のおそれ
「Ivanti EPM」に複数の脆弱性 - 修正版をリリース
米当局、Ivanti製品の脆弱性に注意喚起 - 侵害痕跡なくとも初期化検討を
あらたなIvanti脆弱性 - パッチ分析で特定し、3月中旬より攻撃展開か