プラットフォーム
ivanti
コンポーネント
ivanti-endpoint-manager
CVE-2024-13158は、Ivanti Endpoint Managerにおいて発見されたリモートコード実行(RCE)の脆弱性です。この脆弱性は、認証された管理者権限を持つ攻撃者が、無制限のリソース検索パスを悪用することで、システム上で任意のコードを実行することを可能にします。影響を受けるバージョンは、2024年1月~2025年のセキュリティアップデート以前、および2022 SU6 January-2025アップデート以前です。Ivantiはセキュリティアップデートをリリースしており、適用を推奨します。
この脆弱性を悪用されると、攻撃者はIvanti Endpoint Managerサーバー上で任意のコードを実行できるようになります。これにより、機密情報の窃取、システムの改ざん、さらにはネットワーク全体への攻撃の足掛かりとなる可能性があります。攻撃者は、EPMサーバーを完全に制御し、そこから他のシステムへの横展開を試みる可能性があります。この脆弱性は、組織の機密データ、重要なインフラストラクチャ、およびビジネスプロセス全体に深刻な影響を与える可能性があります。類似のRCE脆弱性は、組織のセキュリティ体制を著しく損ない、広範囲な損害を引き起こす可能性があります。
CVE-2024-13158は、2025年1月14日に公開されました。現時点では、KEV(CISA Known Exploited Vulnerabilities)に掲載されていません。公開されているPoCは確認されていませんが、RCE脆弱性であるため、将来的に悪用される可能性は高いと考えられます。攻撃者は、この脆弱性を利用して、機密情報を窃取したり、システムを乗っ取ったりする可能性があります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を常に監視し、最新の脅威情報に注意してください。
Organizations heavily reliant on Ivanti Endpoint Manager for endpoint management are at significant risk. This includes enterprises with complex endpoint deployments, those using legacy configurations of Ivanti Endpoint Manager, and organizations that have not consistently applied security updates. Shared hosting environments utilizing Ivanti Endpoint Manager are also particularly vulnerable due to the potential for cross-tenant exploitation.
• windows / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID = 1001 and ProviderName = 'Ivanti Endpoint Manager'" | Where-Object {$_.Message -match 'resource search'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -match 'Ivanti Endpoint Manager'}• windows / supply-chain:
reg query "HKLM\SOFTWARE\Ivanti\Endpoint Manager" /v SearchPathdisclosure
エクスプロイト状況
EPSS
21.47% (96% パーセンタイル)
CISA SSVC
CVSS ベクトル
Ivantiは、CVE-2024-13158を修正するセキュリティアップデートをリリースしています。まず、Ivanti Endpoint Managerを最新のセキュリティアップデート(2024年1月~2025年セキュリティアップデート)に適用することを強く推奨します。アップデートが適用できない場合は、一時的な緩和策として、EPMサーバーへのアクセスを厳格に制限し、不要なサービスを無効にしてください。Webアプリケーションファイアウォール(WAF)を使用して、悪意のあるリクエストをブロックすることも有効です。Windows Defenderのシグネチャを更新し、不審なプロセスやネットワーク接続を監視してください。アップデート適用後、EPMサーバーのログを確認し、異常なアクティビティがないか確認してください。
Aplique las actualizaciones de seguridad de enero de 2025 para Ivanti EPM 2024 y EPM 2022 SU6. Estas actualizaciones corrigen la vulnerabilidad de la ruta de búsqueda de recursos no limitada y previenen la posible ejecución remota de código.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-13158は、Ivanti Endpoint Managerのバージョン2024年1月~2025年セキュリティアップデート以前、および2022 SU6 January-2025アップデート以前において、認証された管理者権限を持つ攻撃者がリモートコードを実行できる脆弱性です。
はい、影響があります。認証された攻撃者がシステム上で任意のコードを実行できるため、機密情報の窃取、システムの改ざん、ネットワークへの横展開など、深刻な被害が発生する可能性があります。
Ivanti Endpoint Managerを最新のセキュリティアップデート(2024年1月~2025年セキュリティアップデート)に適用してください。アップデートが適用できない場合は、アクセス制限やWAFの導入などの緩和策を講じてください。
現時点では、積極的に悪用されているという報告はありませんが、RCE脆弱性であるため、将来的に悪用される可能性は高いと考えられます。
Ivantiの公式アドバイザリは、Ivantiのセキュリティアドバイザリページで確認できます。詳細は、Ivantiのウェブサイトを参照してください。