Trusted Design

解説:

CVE‑2023‑27351 調査結果

1. 脆弱性の概要

Ivanti Endpoint Manager（EPM） に存在する認証回避（Authentication Bypass）脆弱性。

攻撃者は特定の API エンドポイントにアクセスすることで、認証を経ずに機微情報へアクセス可能となる。

この脆弱性は Ivanti EPM の Web コンソール（Core Server） に影響し、攻撃者は認証なしでユーザー情報などを取得できる。

1.1 影響

• 認証不要で機微情報（ユーザー情報など）にアクセス可能
• システム情報の漏洩
• 追加攻撃（権限昇格・横展開）の足掛かりとなる可能性

1.2 深刻度

• CVSS 3.1：8.8（High）
• Vector: AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:N / A:N

2. 対象となる環境

2.1 影響を受ける OS / バージョン

OS 依存ではなく Ivanti Endpoint Manager（EPM） のバージョン依存。

影響バージョン（一次情報より）：

• Ivanti Endpoint Manager 2022 SU4 以前

※ Ivanti 公式は「2022 SU5 で修正」と明記。

2.2 影響を受ける設定

• EPM Core Server の Web コンソールが有効
• 特定 API エンドポイントが外部からアクセス可能
• 追加の設定依存は不明（一次情報に記載なし）

3. 影響を受けた時の兆候

公式 IOC は なし（不明）。

脆弱性の性質から発生し得る事実ベースの兆候：

• 認証なしの API アクセスログ
• 不審なユーザー情報取得リクエスト
• Web コンソールへの異常なアクセス増加

（※脆弱性の仕様から導かれる事実であり、公式 IOC ではない）

4. 推奨対策

4.1 本対策（恒久対策）

Ivanti 公式が提供する修正版へアップデート： - Ivanti Endpoint Manager 2022 SU5 以降へ更新

4.2 暫定回避策（緩和策）

Ivanti 公式：
- 回避策なし（No workarounds available）

一般的に有効とされる緩和策（事実ベース）：

• Web コンソールへのアクセス制限（IP 制限 / FW 制御）
• 不要な公開 API の遮断
• ログ監査の強化

参照サイト（一次情報）

• NVD – CVE‑2023‑27351

• CVE.org – CVE‑2023‑27351

• Ivanti Security Advisory