CVE-2025-4427およびCVE-2025-4428検出：RCEにつながるIvanti EPMMエクスプロイトチェーン

CVE-2025-31324の公開に続いて、 SAP NetWeaverで認証なしにファイルをアップロードできる脆弱性である後、未認証の RCEファイルアップロード脆弱性によって、さらに2つのセキュリティ欠陥がIvanti Endpoint Manager Mobile（EPMM）ソフトウェアで明らかになりました。CVE-2025-4427およびCVE-2025-4428として特定されたこれらの脆弱性は、脆弱なデバイス上で認証なしにRCE（リモートコード実行）を達成するために連鎖させることができます。

CVE-2025-4427およびCVE-2025-4428のエクスプロイトチェーンを検出

広く使用されているソフトウェアの脆弱性の急増と、それらが現実の攻撃で素早く武器化される状況を踏まえると、積極的な脅威検知の必要性が重要になっています。2025年上半期には、NIST は 18,000以上の脆弱性を記録しており、その多くはすでに世界中のSOC（セキュリティ運用センター）チームの限界を試しています。サイバー脅威がますます高度化する中で、早期検出は攻撃者に対抗し被害を最小限に抑えるために必須となります。

新たに発生する脆弱性を利用する攻撃を一歩先んじて防ぐために、コンテキストで強化された広範な検出ルールのライブラリにアクセスするために、今すぐSOC Primeプラットフォームに登録してください。 このプラットフォームは、AIによる検出エンジニアリング、自動脅威ハンティング、さらに高度な脅威検出を支援する完全な製品スイートに支えられた、最新のIvanti EPMMエクスプロイトチェーン（CVE-2025-4427、CVE-2025-4428）の策定済み検出を特徴としており、以下の「 検出を探索する 」ボタンをクリックして、関連する検出スタックにダイブしてください。

検出を探索する

セキュリティ専門家はまた、よりターゲットを絞ったコンテンツを得るために、「CVE-2025-4427」および「CVE-2025-4428」タグを使用して、脅威検出マーケットプレイスを閲覧することができます。脆弱性の悪用に関連するより広範な検出ルールセットを探索するには、単に「CVE」タグを適用してフルコレクションを表示してください。

さらに、セキュリティ専門家は、脅威調査を効率化するために Uncoder AI を利用することができます。これは、脅威に基づいた検出エンジニアリングのためのプライベートIDE＆共同パイロットで、AI機能のトークン制限なしで完全に無料で利用可能です。未加工の脅威レポートから検出アルゴリズムを生成し、IOCスウィープを高速に実行可能なパフォーマンス最適化クエリにし、ATT＆CKタグを予測し、AIのアドバイスでクエリコードを最適化し、複数のSIEM、EDR、およびデータレイク言語間で翻訳してください。

CVE-2025-4427およびCVE-2025-4428の分析

Ivantiは最近、EPMMソフトウェアのAPIコンポーネントで新たに特定された2つの脆弱性に対処しましたが、これらは連鎖することにより攻撃者が未パッチのデバイスで認証なしにリモートコード実行を行うことを許可します。欠陥には CVE-2025-4427 （CVSSスコアは5.3）、正当なクレデンシャルなしで攻撃者が制限されたリソースにアクセスできる認証回避が含まれ、 CVE-2025-4428 （CVSSスコアは7.2に達する）、影響を受けるシステムで任意のコードを実行させるRCE欠陥が含まれます。

ベンダーは、脆弱性が公開された時点で、限られた数の顧客のみが影響を受けていると述べました。セキュリティの問題は、EPMMで使用されている2つのオープンソースライブラリに関連しており、それらを使用している他のソフトウェアも影響を受けているのかどうかは不明です。同社は、APIフィルタリングをポータルACLや外部WAFを介して使用している顧客は、リスクが大幅に低いことを強調しました。問題はオンプレミスのEPMMインスタンスだけに影響し、Ivanti Neurons for MDM、Ivanti Sentry、またはその他の製品オファリングには影響しません。

その間に、watchTower Labsの研究者は、GitHub上でPoC (Pre-Auth RCE Chain 1day Detection Artifact Generator Tool) を公開し、これらの欠陥を連鎖させてIvanti EPMMでRCEを取得する方法を示しました。防御者は、第3者ライブラリ「hibernate-validator」がバージョン6.0.22から6.2.5に更新されたにもかかわらず、特別に細工されたHTTP GETリクエストを「/mifs/admin/rest/api/v2/featureusage」に送信することで任意のコマンドを実行できることを観察しました。また、CVE-2025-4427は認証回避というよりもむしろ論理の欠陥、つまりコード内でセキュリティ境界が誤って適用される「操作順序」の問題であることを明らかにしました。 研究者たちはこれが本当に第3者の脆弱性か、既知のリスクのある関数の危険な使用が原因なのかを 疑問視しました。

脆弱性はEPMMのバージョン11.12.0.4、12.3.0.1、12.4.0.1、および12.5.0.0に影響するため、防御者は次の パッチリリースで提供される修正を迅速に適用することを推奨しました。 ベンダーによって修正される予定です。より具体的には、対応するソフトウェアバージョンにアップグレードすること、つまり11.12.0.5、12.3.0.2、12.4.0.2、および12.5.0.1にアップグレードすることが、CVE-2025-4427およびCVE-2025-4428の緩和策として最も効果的で、エクスプロイトチェーン攻撃のリスクを最小化する手段です。 SOC Primeプラットフォーム は、サイバースケールや洗練度にかかわらず、全世界のさまざまな産業垂直市場や個別の研究者に向けて、クリティカルなCVEやゼロデイを含む継続的に出現する人気のあるソフトウェアに対してAI駆動の先端的な製品スイートを装備し、サイバー脅威から能動的に防御する能力を提供します。