Ivanti Endpoint Manager 2024年11月セキュリティアップデート以前、または2022 SU6 11月セキュリティアップデート以前のPath traversalにより、管理者権限を持つ認証済みリモート攻撃者がリモートコード (Remote Code Execution) を実行できる可能性があります。

この脆弱性は、認証された攻撃者がIvanti Endpoint Managerサーバー上の任意のファイルにアクセスし、実行可能なコードを書き込むことを可能にします。攻撃者は、この脆弱性を悪用して、機密情報を盗んだり、システムを完全に制御したりする可能性があります。特に、管理者の権限を持つ攻撃者は、ネットワーク内の他のシステムへの横展開も容易に行える可能性があります。この脆弱性は、類似のパストラバーサル脆弱性と同様に、システムへの完全なアクセスを許す重大なリスクをもたらします。

Organizations heavily reliant on Ivanti Endpoint Manager for managing a large number of endpoints are particularly at risk. This includes organizations with legacy Ivanti Endpoint Manager deployments that have not been regularly updated. Shared hosting environments where multiple customers share the same Ivanti Endpoint Manager instance are also vulnerable, as a compromise of one customer's account could potentially impact others.

• windows / supply-chain:

Get-WinEvent -LogName Security -Filter "EventID = 4625 -Message contains 'Ivanti Endpoint Manager'" | Where-Object {$_.Properties[0].Value -match '\\'}

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -match 'Ivanti Endpoint Manager'}

• windows / supply-chain:

reg query "HKLM\Software\Ivanti\Endpoint Manager" /v UnauthorizedAccess

1. 2024-11-12Disclosure

   disclosure

1. 予約済み2024-10-22
2. 公開日2024-11-12
3. 更新日2024-11-19
4. EPSS 更新日2026-04-02

この脆弱性への主な対策は、Ivanti Endpoint Managerを2024年11月セキュリティアップデートまたは2022 SU6 11月セキュリティアップデート以降のバージョンに更新することです。アップグレードが困難な場合は、一時的な回避策として、サーバーへのアクセスを厳格に制限し、不要なサービスを無効にすることを検討してください。また、WAF（Web Application Firewall）を導入し、パストラバーサル攻撃を検知・防御するルールを設定することも有効です。攻撃の兆候を早期に検知するために、ログ監視を強化し、異常なファイルアクセスや実行イベントを監視してください。