Trusted Design

CVE-2025-61932 の詳細

CVEの情報

説明:
Lanscope Endpoint Manager (On-Premises) (Client program (MR) and Detection agent (DA)) improperly verifies the origin of incoming requests, allowing an attacker to execute arbitrary code by sending specially crafted packets.

CVE更新日: 2025-10-20 08:15:33.303000

CVSSバージョン: 4.0

CVSSスコア: 9.3

KEVの情報

KEV更新日: 2025-10-22

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.014490000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: True

AIを使った解説

解説:

CVE-2025-61932は、エムオーテックス株式会社が提供する「LANSCOPE エンドポイントマネージャー オンプレミス版」に存在する、通信チャネルの送信元検証不備の脆弱性です。この脆弱性は、すでに実環境での悪用が確認されており、米CISAの既知の悪用された脆弱性(KEV)カタログにも追加されています。

1. 脆弱性の概要

LANSCOPE エンドポイントマネージャー オンプレミス版のクライアントプログラム(MR)および検知エージェント(DA)において、受信リクエストの送信元検証が不適切であるため、攻撃者が特別に細工したパケットを送信することで、任意のコードを実行される可能性があります。

1.1 影響

  • 認証されていない攻撃者が、影響を受けるシステム上でSYSTEM権限で任意のコードを実行する可能性があります。
  • これにより、端末の乗っ取り、マルウェア(Gokcpdoor、OAED Loaderなど)の展開、資格情報の窃取、システム構成の変更、社内ネットワーク内での横展開など、広範な侵害につながるおそれがあります。
  • エンドポイント管理プラットフォームが、大規模な侵害の初期アクセスベクトルとして利用される可能性があります。

1.2 深刻度

  • 深刻度は「緊急(Critical)」と評価されています。
  • CVSS v3.0基本値: 9.8 (緊急)
  • CVSS v4.0基本値: 9.3 (緊急)

2. 対象となる環境

製品

  • LANSCOPE エンドポイントマネージャー オンプレミス版
  • LANSCOPE エンドポイントマネージャー クラウド版は本脆弱性の影響を受けません。

2.1 影響を受けるOSバージョン

不明(本脆弱性は特定のOSバージョンではなく、アプリケーション自体に起因します。)

2.2 影響を受ける設定

  • LANSCOPE エンドポイントマネージャー オンプレミス版 Ver.9.4.7.1およびそれ以前のバージョン。
  • 具体的には、クライアントプログラム(MR)と検知エージェント(DA)が影響を受けます。
  • MRまたはDAがインストールされた管理対象端末が外部からアクセス可能な環境(例:インターネット上に設置されているWindowsサーバー、グローバルIPアドレスが割り振られているSIM搭載PCなど)に設置されている場合、攻撃を受ける可能性が高まります。

3. 影響を受けた時の兆候

  • 2025年4月以降、日本国内の顧客環境において、特定のポートを狙った不審なパケットの受信がJPCERT/CCにより確認されています。
  • 開発者も、一部の顧客環境で外部からの不正なパケット受信事例を確認しています。
  • サーバー側では、エンドポイントマネージャーサービスによって予期しないプロセスが起動したり、異常なリソース使用、または新規のリスニングポートが確認されたりする可能性があります。
  • エンドポイント側では、LANSCOPEのインストールパスや一般的な永続化場所に、新規に作成されたバイナリ、スクリプト、または構成ファイルが見つかる可能性があります。これらはバックドアのインストールを示唆している場合があります。
  • GokcpdoorやOAED Loaderといったマルウェア、あるいはHavoc C2フレームワークの展開が観測されています。

4. 推奨対策

4.1 本対策

  • 直ちにエムオーテックス株式会社が提供する最新のアップデートを適用してください。
  • 修正済みバージョンは以下の通りです。
    • 9.3.2.7
    • 9.3.3.9
    • 9.4.0.5
    • 9.4.1.5
    • 9.4.2.6
    • 9.4.3.8
    • 9.4.5.4
    • 9.4.6.3
    • 9.4.7.3
  • この脆弱性の修正は主にクライアント側コンポーネント(MR/DA)の対応で完結し、マネージャーサーバーのバージョンアップは不要とされています。

4.2 暫定回避策(緩和策)

  • LANSCOPE管理インターフェースへのネットワークアクセスを、セグメンテーション、VPN、ファイアウォールルールを用いて制限し、管理ポートをインターネットに直接公開しないようにしてください。
  • ゼロトラストの原則を適用してください。
  • 異常なネットワークトラフィックや不正なコード実行を監視してください。
  • 堅牢なネットワーク監視システムと侵入検知システムを導入してください。
  • すべてのLANSCOPE Endpoint Managerインストールに対し、緊急のセキュリティ評価を実施してください。
  • 侵害が疑われる場合は、影響を受けたLANSCOPEサーバーを隔離し、フォレンジック分析のためにディスクイメージ、メモリースナップショット、アプリケーションログ、ネットワークトレースを速やかに取得してください。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る