Ivanti、EPMの重大なRCE欠陥について警告（CVE-2025-10573）

nosa

2025.12.10

2025年12月10日：サイバーセキュリティ関連ニュース

Ivanti、Endpoint Managerの重大なRCE欠陥について警告（CVE-2025-10573）

BleepingComputer – December 9, 2025

米ITソフトウェア企業のIvantiは9日、Endpoint Manager（EPM）で新たに発見された脆弱性にパッチを適用するよう顧客に勧告した。

Ivantiは世界7千社以上の組織ネットワークを通じて4万超の企業にシステム／IT資産管理ソリューションを提供している企業。同社のEPMはオールインワンのエンドポイント管理ツールで、WindowsやmacOS、Linux、Chrome OS、IoTなど主要プラットフォーム上のクライアントデバイスの一元管理を実現する。今回修正された重大な脆弱性はCVE-2025-10573として追跡されており、未認証の攻撃者に悪用されると、ユーザー操作を必要とする複雑性の低いクロスサイトスクリプティング攻撃を通じて任意のJavaScriptコードがリモートで実行可能になるという。

同社はこの問題に対処するため、バージョンEPM 2024 SU4 SR1をリリース。さらにEPMはオンラインで公開されることを意図しておらず、この脆弱性のリスクが大幅に軽減されるはずだと指摘した。ただしBleeping Computerの記事によると、脅威監視プラットフォームShadowserverはネットに接続されたEPMインスタンスを数百件追跡しており、9日時点でその大半が米国（569件）やドイツ（109件）、日本（104件）で確認されている。

Ivantiはまた、認証されていない攻撃者がパッチ未適用のシステム上で任意のコードを実行できる2件の脆弱性（CVE-2025-13659、CVE-2025-13662）と、認証済みの攻撃者による任意のファイル書き込みを可能にする脆弱性（CVE-2025-13661）についても同時にパッチをリリースした。前述のCVE-2025-10573を含め、これらのバグが公開前に悪用されたという報告はないようだ。

React2Shell攻撃、北朝鮮系ハッカーも関連か（CVE-2025-55182）

SecurityWeek – December 9, 2025

米サイバーセキュリティ企業Sysdigの調査により、ユーザーインターフェース生成に使うオープンソースライブラリReactの脆弱性「React2Shell」を悪用した攻撃の一部は、北朝鮮の脅威アクターによって実行されている可能性が明らかになった。

React2ShellはCVE-2025-55182として追跡されている脆弱性で、認証されていないリモートコード実行に悪用される恐れがあるという。この欠陥の存在は12月3日に明らかになり、その直後から悪用が始まった模様。Reactのバージョン19に加え、Next.js、Waku、React Router、RedwoodSDKといった関連フレームワークにも影響を与えることがわかっている。

Security Weekの記事が執筆された時点で入手可能な情報によると、この脆弱性を最初に悪用したのは中国系の脅威グループとされ、その直後に悪用事例が急増。Sysdigはこれまで確認されていなかったEtherRATの展開を伴う高度な攻撃も観測し、技術的詳細を分析することで北朝鮮が関与するキャンペーン「Contagious Interview」との関連性を突き止めたようだ。

観測された攻撃は、React2Shellの悪用によってシェルコマンドを実行するもの。このシェルコマンドがダウンロード・実行するシェルスクリプトによりJavaScriptインプラントが展開され、これがドロッパーとしてEtherRATを復号する。EtherRATに使用される暗号化されたローダーのパターンは、Contagious Interviewで用いられるBeaverTailマルウェアとよく一致しているという。

さらにSysdigは、Lazarus Groupなど北朝鮮系アクターの攻撃手法が「大きな進化」を遂げた可能性について指摘。これまでNode.jsがペイロードにバンドルされていたものの、公式のnodejs.orgディストリビューションからダウンロードさせるようになったことなどを取り上げ、Lazarus Groupとは違う「別の高度なアクターが複数の既知のキャンペーンの手法を組み合わせ、アトリビューションをより難しくしている可能性も考えられる」と述べた。