Ivanti、EPMMの重大RCE 脆弱性2件を公表 ゼロデイ悪用も確認(CVE-2026-1281,CVE-2026-1340)-JPCERTも注意喚起

セキュリティニュース

投稿日時: 更新日時:

Ivanti、EPMMの重大RCE 脆弱性2件を公表 ゼロデイ悪用も確認(CVE-2026-1281,CVE-2026-1340)

Ivantiは2026年1月29日、Ivanti Endpoint Manager Mobile(EPMM)に存在するコードインジェクションの脆弱性 2件(CVE-2026-1281、CVE-2026-1340)についてセキュリティアドバイザリを公開し、修正・緩和のための更新(RPM)を提供しました。

いずれも未認証のリモートコード実行(RCE)につながる可能性があり、深刻度はCVSS 9.8(Critical)とされています。Ivantiは「開示時点で、ごく限られた数の顧客環境が悪用されたことを把握している」としています。

また1月30日時点でJPCERTでも注意喚起されています。

影響範囲:EPMMのみが対象、Ivantiのクラウド製品は非対象

Ivantiの説明では、本件の影響を受けるのはEPMMであり、Ivanti Neurons for MDMなどのクラウド製品は対象外です。

また、Ivanti Endpoint Manager(EPM)は別製品のため影響を受けないとされています。Sentryについても「Sentry自体に当該脆弱性はない」としつつ、EPMMと構成上依存関係があるため、調査時はSentry側のログ確認も推奨しています。なお、FortiCloudなどの他社製品とは無関係です。

脆弱性の概要:未認証でRCEに到達し得るコードインジェクション

CVE-2026-1281とCVE-2026-1340はいずれもEPMMにおけるコードインジェクション(CWE-94)で、攻撃者が認証なしで任意コードを実行できる可能性があるとされています。記事側の解説では、悪用に成功するとEPMMアプライアンス上で任意コード実行が可能になり、管理基盤に保管される幅広い情報にアクセスされるおそれがあるとしています。

攻撃で狙われ得る情報:管理者・ユーザー情報から端末属性、位置情報まで

報道では、侵害時にアクセスされ得る情報として、管理者名やユーザー名、メールアドレスなどのアカウント関連情報に加え、MDMで管理されるモバイル端末の電話番号、IPアドレス、インストール済みアプリ、IMEIやMACアドレスなどの端末識別子が挙げられています。さらに位置情報追跡が有効な環境では、GPS座標や近隣基地局情報など、位置情報に関するデータにアクセスされる可能性にも触れられています。加えて、EPMMのAPIやWebコンソール経由で設定変更(認証設定を含む)を行えるリスクも指摘されています。

影響バージョン:複数系統の12.xが対象、まずは自環境の系統確認が重要

Ivantiは、EPMM 12.5.0.0/12.6.0.0/12.7.0.0の各系統「およびそれ以前」、ならびに12.5.1.0/12.6.1.0の各系統「およびそれ以前」を影響範囲として示し、系統に応じたRPM適用を求めています。

運用上は、まず自組織のEPMMが「12.x.0.x系」か「12.x.1.x系」かを切り分けた上で、該当RPMを選ぶことが前提になります。

対策:暫定のRPM提供、恒久対応は12.8.0.0で提供予定

Ivantiは緩和策としてRPMを提供し、適用にダウンタイムは不要で、機能影響も把握していないとしています。

適用対象はバージョン系統ごとに分かれており、必要なのは脆弱性ごとではなくバージョン系統ごとに該当RPMを1つ適用する形です。

一方で重要な注意点として、RPMによる修正は「バージョンアップで維持されない(アップグレードするとRPMを再適用が必要)」と明記されています。

恒久対応は次期リリースのEPMM 12.8.0.0に含まれる予定で、Ivantiは2026年Q1後半に提供し、提供後は12.8.0.0への移行を強く推奨しています。

調査・検知:確定IOCは乏しい一方、アクセスログの探索手順を提示

Ivantiは「確実な原子IOC(atomic IOC)は現時点で提示できない」とし、技術分析(Technical Analysis)を別途提供して調査・フォレンジックを支援する方針を示しています。記事によると、攻撃は特定機能(In-House Application DistributionやAndroid File Transfer Configuration)を通じてトリガーされ、痕跡はApacheのアクセスログ(/var/log/httpd/https-access_log)に現れる可能性があるとされています。

特に、Ivantiが提示した正規表現として、外部からのリクエストで対象パスにアクセスし、404を返すパターンを抽出するものが紹介されています。

  • ^(?!127\.0\.0\.1:\d+ .*$).*?\/mifs\/c\/(aft|app)store\/fob\/.*?404

正規利用では200が返ることが多い一方、悪用(成功・失敗を含む)では404になる傾向があり、標的化の兆候として重視できるという位置付けです。ただし侵害後はログ改ざん・削除の可能性があるため、オフデバイスで保全しているログがあればそちらを優先して確認する必要があります。

侵害が疑われる場合

Ivantiが「侵害が疑われる場合にそのままクリーンアップすることは推奨しない」姿勢です。

具体的には、侵害前の既知の正常バックアップからの復元、またはアプライアンスの再構築とデータ移行を推奨しています

復旧後の推奨アクションとしては、EPMMのローカルアカウントのパスワードリセット、LDAP/KDCの参照に使うサービスアカウントのパスワード変更、EPMMで利用する公開証明書の失効・再発行、連携している内外サービスアカウントの認証情報更新などが挙げられています。

また、Sentryは脆弱ではないものの、モバイル端末から社内資産へのトンネル用途を持つため、横展開(lateral movement)や偵察(recon)の観点で併せて調査するよう注意喚起されています。