IT・Web開発に携わる皆様へ緊急のお知らせです。モバイルデバイス管理(MDM)やVPNゲートウェイとして広く利用されているIvanti Sentryにおいて、認証不要で悪用可能なOSコマンドインジェクションの脆弱性(CVE-2026-10520)が発見されました。この脆弱性はCVSSスコア10.0(Critical)と評価されており、米CISAも既知の悪用済み脆弱性(KEV)カタログに追加し、連邦政府機関に対して緊急の対応を指示しています。攻撃者はこの脆弱性を悪用することで、対象システム上でroot権限での任意のコード実行が可能となります。お客様の環境にIvanti Sentryが導入されている場合、直ちに詳細を確認し、推奨される対策を講じる必要があります。
脆弱性の概要と影響範囲
今回公表されたCVE-2026-10520は、Ivanti Sentry (旧称:MobileIron Sentry) に存在するOSコマンドインジェクションの脆弱性です。この脆弱性は、認証されていないリモートの攻撃者が、細工されたリクエストを送信することで、基盤となるオペレーティングシステム上でroot権限で任意のコマンドを実行できるというものです。 この種の脆弱性は、しばしば悪意あるサイバーアクターによる主要な攻撃ベクトルとなり、連邦政府機関にも重大なリスクをもたらします。
影響を受けるのは、バージョンR10.5.2、R10.6.2、およびR10.7.1より前のIvanti Sentryアプライアンスです。特に、インターネットに公開されているIvanti Sentryの管理ポータルは主要な標的となっており、既に多くのシステムがバックドアを仕掛けられている可能性があります。
具体的な影響・攻撃シナリオ
この脆弱性が悪用された場合、攻撃者は以下のことが可能になります。
1. **完全なシステム制御:** 認証なしでroot権限を取得し、Ivanti Sentryアプライアンスを完全に制御します。
2. **データ窃取とネットワーク侵入:** アプライアンスがアクセス可能な内部ネットワークへの足がかりを築き、機密情報の窃取やさらなる内部システムへの侵入が行われる可能性があります。
3. **サービス妨害:** アプライアンスの機能停止や設定改ざんにより、MDMやVPNサービスが利用できなくなる可能性があります。
この脆弱性に対するPoC(Proof-of-Concept)エクスプロイトコードはパッチ公開後数日で出現しており、積極的な悪用が観測されています。 また、WordPressのFediverse Embedsプラグインにおける未認証SSRF脆弱性(CVE-2026-46697)も同日公開されており、広範囲なWebサービスへの影響が懸念されます。
エンジニアが今すぐ取るべき対策
最も重要な対策は、Ivanti Sentryアプライアンスを速やかにベンダーが提供する最新バージョンにアップデートすることです。パッチが適用されるまでの間、または適用後も多層防御の一環として、以下の暫定的な緩和策を検討してください。
1. **ベンダーパッチの適用:** Ivanti Sentryの推奨パッチ(R10.5.2, R10.6.2, R10.7.1以降)を直ちに適用してください。
2. **アクセス制限の強化:** Ivanti Sentryの管理インターフェースおよび関連サービスへのネットワークアクセスを厳格に制限してください。信頼できるIPアドレス範囲からのアクセスのみを許可するよう、ファイアウォールやACLを設定します。
nginx
# Ivanti Sentry管理画面へのアクセスを特定のIPアドレスに制限するNginxリバースプロキシ設定例
server {
listen 443 ssl;
server_name ivanti-sentry.yourdomain.com;
ssl_certificate /etc/nginx/ssl/yourdomain.crt;
ssl_certificate_key /etc/nginx/ssl/yourdomain.key;
# 信頼できるIPアドレスからのアクセスのみを許可
allow 203.0.113.0/24; # 例: オフィスネットワークのIPレンジ
allow 192.0.2.10; # 例: 特定の管理者IPアドレス
deny all;
location / {
proxy_pass https://<Ivanti_Sentry_Internal_IP_or_Hostname>:8443; # Ivanti Sentryの内部IP/ホスト名とポート
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# 必要に応じてその他のヘッダーを追加
# Ivanti SentryへのWebSocket接続をサポートする場合
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}3. **異常な通信の監視:** ネットワークトラフィックとシステムログを監視し、不審なアクセスやコマンド実行の兆候がないか継続的にチェックしてください。
4. **セキュリティ設定の見直し:** Ivanti Sentryだけでなく、関連するモバイル管理システム、VPN、その他のゲートウェイデバイスについてもセキュリティ設定を再確認し、最小権限の原則に基づいたアクセス制御を徹底してください。
📦