米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、最近パッチが適用されたSolarWinds Serv-Uの深刻な脆弱性を悪用し、サーバをクラッシュさせる攻撃が活発化していると警告しました。
Serv-UはSolarWindsが提供するWindowsおよびLinux向けのファイル転送ソフトウェアで、Managed File Transfer(MFT)機能とFTPサーバ機能を備えています。HTTP/HTTPS、FTP、FTPS、SFTPを通じてファイルを安全にやり取りできます。
SolarWindsは木曜日にServ-U 15.5.4 Hotfix 1をリリースし、このサービス拒否(DoS)脆弱性(CVE-2026-28318として追跡)にパッチを適用しました。同脆弱性は制御されていないリソース消費の弱点に起因するとしています。
「SolarWinds Serv-Uは、Content-Encoding: deflateを使用した特別に細工されたPOSTリクエストによって、認証なしにServ-Uサービスをクラッシュさせることができる脆弱性を抱えています」と同社は説明しています。
攻撃者はリモートから特権なしで、ユーザーの操作を必要としない低複雑性の攻撃によってこの脆弱性を悪用できます。
SolarWindsはまた、すぐにパッチを適用できない管理者に対し、アクセスを既知のアドレスに制限し、「content-encoding」を含むPOSTリクエストをブロックするよう推奨しています。脆弱なServ-Uサービスはこの機能を必要としないためです。
インターネットインテリジェンスプラットフォームのShodanは現在、オンラインで公開されている12,000台以上のServ-Uサーバを把握しており、インターネットセキュリティ監視機関のShadowserverも3,100台超を確認していますが、すでにパッチが適用された台数については情報がありません。
SolarWindsが脆弱性に対処した数日後、CISAはこれを実際の攻撃での悪用が確認されたとして野放し状態での悪用を認定し、既知の悪用脆弱性カタログ(Known Exploited Vulnerabilities Catalog)に追加しました。拘束的運用指令(BOD)22-01の定めに従い、連邦民間行政機関すべてに対し、進行中の攻撃からサーバを守るため6月19日までにパッチを適用するよう命じています。
BOD 22-01は米国政府機関にのみ適用されますが、CISAは民間セクターを含むすべてのネットワーク防衛担当者に対しても、進行中のCVE-2026-28318攻撃からネットワークをできる限り早期に保護するよう求めています。
「この種の脆弱性は、悪意のあるサイバー攻撃者が頻繁に利用する攻撃経路であり、連邦政府のインフラに対して重大なリスクをもたらします」とCISAは警告しています。「ベンダーの指示に従って緩和策を講じるか、クラウドサービスについては該当するBOD 22-01のガイダンスに従ってください。緩和策が利用できない場合は製品の使用を中止してください。」
近年、複数のサイバー犯罪グループや国家が支援するハッキンググループが、企業および顧客の機密データを窃取する目的でServ-Uの脆弱性を狙ってきました。
例えば、Clopランサムウェアグループは2021年のキャンペーンで、Serv-Uのリモートコード実行脆弱性(CVE-2021-35211)を悪用して企業ネットワークに侵入しました。中国のハッカーグループDEV-0322も2021年7月からCVE-2021-35211のエクスプロイトをゼロデイ攻撃に使用しています。
より最近では、2024年6月にセキュリティ企業GreyNoiseとRapid7が、Serv-Uのパストラバーサル脆弱性(CVE-2024-28995)を実際に悪用されていると指摘しました。
過去数年間でCISAは、SolarWindsのさまざまな製品にわたる11件の脆弱性を攻撃で実際に悪用されているとして登録しており、そのうち1件はランサムウェアグループによっても悪用されています。
攻撃者より先にすべての防御層をテストする
セキュリティチームが把握できる攻撃成功件数はわずか54%で、アラートが発せられるのはそのうちの14%にすぎません。残りの攻撃は気づかれないままシステム内を移動しています。
PicusのホワイトペーパーではBreach and Attack Simulation(BAS)によってSIEMやEDRのルールを検証し、脅威が検知をすり抜けないようにする方法をご紹介しています。
