著名なセキュリティソフトウェア企業である**Ivanti**は、同社の**Sentry**セキュアモバイルゲートウェイソリューションで特定された2件の重大な脆弱性に対処するためのパッチをリリースしました。これらのパッチは、リモート攻撃者がroot権限でコードを実行できる最高レベルの深刻度を持つ脆弱性と、重大な認証バイパス脆弱性を対象としています。 以前は**MobileIron Sentry**として知られていた**Ivanti Sentry**は、バックエンドの企業システムとリモートモバイルデバイス間のトラフィックフローを保護するセキュリティゲートウェイアプライアンスとして機能します。 ### 最高レベルの深刻度を持つOSコマンドインジェクション 最初で最も深刻な脆弱性である**CVE-2026-10520**は、OSコマンドインジェクションの弱点です。この脆弱性は、認証されていないリモート攻撃者がroot権限でコードを実行できる可能性があり、攻撃者に影響を受けるシステムに対する完全な制御権を与えるため、最高レベルの深刻度評価を受けています。 ### 重大な認証バイパス 2番目のセキュリティ脆弱性である**CVE-2026-10523**は、重大な認証バイパスです。この脆弱性は、認証されていない攻撃者によってリモートで悪用され、不正な管理者アカウントを作成することで、**Sentry**アプライアンスへの完全な管理者アクセス権を取得することができます。 ### パッチの入手可能性と推奨事項 **Ivanti**は火曜日に両方の問題に対するパッチをリリースし、**Sentry**のバージョンR10.5.2、R10.6.2、およびR10.7.1で利用可能になりました。同社は、開示時点でこれらの脆弱性が実際に悪用されている証拠はないと述べています。それにもかかわらず、管理者は潜在的なリスクを軽減するために、遅滞なくシステムをアップグレードすることが強く推奨されます。 ### 悪用のパターン 今回のインシデントは、**Ivanti**の脆弱性が脅威アクターによって頻繁に標的とされるという懸念されるパターンに加わるものです。同社の製品は、エンタープライズネットワークで広く使用されているため、組織への侵入や機密データの窃取を目指すサイバー犯罪者にとって魅力的な侵入口となることがよくあります。 例えば、**サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）**は最近、ゼロデイとして積極的に悪用されていた**Ivanti Endpoint Manager Mobile（EPMM）**の脆弱性について、米国連邦機関にパッチ適用を義務付けました。これは、**Ivanti**自身が深刻度の高いリモートコード実行脆弱性について警告したことに続くものです。 過去数年間、数多くの**Ivanti**のゼロデイが攻撃に利用されており、世界中の政府機関を含む多様なターゲットに影響を与えています。**CISA**の既知の悪用脆弱性カタログには、様々な**Ivanti**製品にわたる34件の脆弱性が積極的に悪用されているとリストされており、そのうち12件はランサムウェア攻撃にも使用されています。 **Ivanti**のIT資産管理ソリューションは、世界中の40,000以上のクライアントに利用されており、その広範なユーザーベースにとって、タイムリーなパッチ適用と堅牢なセキュリティプラクティスの重要性を強調しています。