Ivanti Endpoint Manager 2024年11月セキュリティアップデート以前、または2022 SU6 11月セキュリティアップデート以前のパス・トラバーサルにより、リモートの認証されていない攻撃者がリモートコード実行を達成できる。ユーザーのインタラクションが必要。

この脆弱性を悪用されると、攻撃者は認証なしでIvanti Endpoint Managerサーバー上で任意のコードを実行できるようになります。攻撃者は、システムに侵入し、機密情報を盗み出し、マルウェアをインストールしたり、さらなる攻撃の足がかりとして利用したりする可能性があります。この脆弱性は、特にネットワークに接続されたIvanti Endpoint Managerサーバーが攻撃対象となる可能性があります。攻撃者は、Webインターフェースを通じて脆弱性を悪用する可能性があります。この脆弱性の悪用は、システム全体の停止やデータ損失につながる可能性があります。

Organizations heavily reliant on Ivanti Endpoint Manager for endpoint management are particularly at risk. This includes those with legacy deployments using older, unsupported versions of the software. Shared hosting environments where multiple customers share the same Ivanti Endpoint Manager instance are also vulnerable, as a compromise of one customer's environment could potentially impact others.

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*Ivanti*'} | Select-Object TaskName, State

• linux / server:

journalctl -u ivanti-endpoint-manager -f

• generic web:

curl -I https://<ivanti_endpoint_manager_server>/<malicious_path_traversal_request>

1. 2024-11-12Disclosure

   disclosure

1. 予約済み2024-10-22
2. 公開日2024-11-12
3. 更新日2024-11-19
4. EPSS 更新日2026-04-02

この脆弱性への対応策として、Ivantiからリリースされた2024年11月セキュリティアップデートまたは2022年SU6の11月セキュリティアップデートへのアップデートが推奨されます。アップデートがすぐに適用できない場合は、Ivanti Endpoint Managerサーバーへのアクセスを制限し、不要なポートを閉じるなどの緩和策を講じる必要があります。また、WAF（Web Application Firewall）を導入し、パス・トラバーサル攻撃を検知・防御することも有効です。アップデート適用後、システムが正常に動作することを確認してください。