2025年9月23日Ravie Lakshmanan脆弱性 / データセキュリティ
SolarWindsは、同社のWeb Help Deskソフトウェアに影響を与える重大なセキュリティ脆弱性に対応するためのホットフィックスをリリースしました。この脆弱性が悪用された場合、攻撃者は脆弱なシステム上で任意のコマンドを実行できる可能性があります。
この脆弱性はCVE-2025-26399(CVSSスコア:9.8)として追跡されており、信頼されていないデータのデシリアライズによってコード実行が発生する可能性がある事例と説明されています。SolarWinds Web Help Desk 12.8.7およびそれ以前のすべてのバージョンが影響を受けます。
「SolarWinds Web Help Deskは、認証されていないAjaxProxyデシリアライズによるリモートコード実行の脆弱性にさらされていることが判明しました。この脆弱性が悪用された場合、攻撃者はホストマシン上でコマンドを実行できる可能性があります」とSolarWindsは2025年9月17日に公開したアドバイザリで述べています。
この脆弱性は、Trend Micro Zero Day Initiative(ZDI)と協力する匿名の研究者によって発見・報告されました。
SolarWindsによると、CVE-2025-26399はCVE-2024-28988(CVSSスコア:9.8)に対するパッチ回避であり、さらにこれはCVE-2024-28986(CVSSスコア:9.8)に対する回避策でもあります。この問題は2024年8月に同社によって最初に対処されました。
「この脆弱性により、リモートの攻撃者は影響を受けるSolarWinds Web Help Deskのインストール環境で任意のコードを実行できます。この脆弱性の悪用には認証は必要ありません」と、CVE-2024-28988に関するZDIのアドバイザリで述べられています。
「具体的な問題はAjaxProxyに存在します。問題は、ユーザーから提供されたデータの適切な検証が行われていないことに起因し、信頼されていないデータのデシリアライズが発生する可能性があります。攻撃者はこの脆弱性を利用して、SYSTEMのコンテキストでコードを実行できます。」
現時点で、この脆弱性が実際に悪用された証拠はありませんが、ユーザーには最適な保護のためにSolarWinds Web Help Desk 12.8.7 HF1へのアップデートが推奨されています。
とはいえ、元のバグであるCVE-2024-28986は、公開直後に米国サイバーセキュリティ・インフラセキュリティ庁(CISA)によって既知の悪用脆弱性(KEV)カタログに追加されました。現在、このバグを武器化した攻撃の詳細については公に情報はありません。
「SolarWindsは、ITおよびサイバーセキュリティ分野では説明不要の名前です。悪名高い2020年のサプライチェーン攻撃は、ロシアの対外情報庁(SVR)によるものとされており、複数の欧米政府機関への数か月にわたるアクセスを可能にし、業界に大きな影響を残しました」と、watchTowrのプロアクティブ脅威インテリジェンス責任者であるRyan Dewhurst氏は声明で述べています。
「2024年に話を進めると、認証不要のリモートデシリアライズ脆弱性(CVE-2024-28986)が修正され…さらに再度修正され(CVE-2024-28988)、そして今、同じ脆弱性に対処するための新たなパッチ(CVE-2025-26399)が登場しました。
「三度目の正直でしょうか?元のバグは実際に野生で悪用されていました。今回の最新パッチ回避については、まだ積極的な悪用は確認されていませんが、過去の例から考えると時間の問題かもしれません。」
翻訳元: https://thehackernews.com/2025/09/solarwinds-releases-hotfix-for-critical.html