米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、SolarWinds Serv-Uに存在する深刻な脆弱性を、悪用が確認された脆弱性カタログ(KEV)に正式に追加しました。
CVE-2026-28318として追跡されているこの脆弱性は、認証を持たない攻撃者がファイル転送サービスをリモートからクラッシュさせることを可能にします。実際の攻撃への悪用が確認されており、インターネットに公開されているServ-Uインスタンスを持つ企業ネットワークに対して深刻なリスクをもたらしています。
CVE-2026-28318は、CWE-400に分類される「リソースの無制限消費(Uncontrolled Resource Consumption)」脆弱性です。
SolarWinds Serv-Uの脆弱性悪用の実態
このクラスの脆弱性は、アプリケーションが受信データを処理する際に確保するシステムリソースに適切な制限を設けていない場合に発生します。SolarWinds Serv-Uにおいては、特定のHTTPリクエストの処理方法に脆弱性の根本原因が潜んでいます。
攻撃者はこの弱点を悪用し、Content-Encoding: deflateというHTTPヘッダーを含む悪意を持って細工されたPOSTリクエストを送信します。
Serv-Uサービスがこのペイロードを処理しようとすると、CPUおよびメモリリソースを過剰に消費し、最終的にサービス拒否(DoS)状態を引き起こします。
この攻撃手法が特に懸念されるのは、権限も認証情報も一切不要な点です。
さらに、ネットワーク経由で完全にリモート実行が可能なため、企業のファイル共有業務を妨害したり、二次的な侵入を隠蔽しようとするリモートの脅威アクターにとって非常に魅力的な攻撃ベクターとなっています。
実際の悪用を裏付ける具体的な証拠を受け、CISAは2026年6月5日にCVE-2026-28318をKEVカタログへ追加しました。拘束的運用指令(BOD)22-01に基づき、連邦民間行政機関(FCEB)のすべての機関は2026年6月19日までに脆弱性を修正することが義務付けられています。
現時点の脅威インテリジェンスでは、この脆弱性の悪用と既知のランサムウェアキャンペーンとの直接的な関連は明確には確認されていません。しかしCISAおよびサイバーセキュリティの専門家は、すべての組織がこの脆弱性を最優先で対処するよう強く求めています。
認証不要なネットワーク脆弱性は、国家支援型の高度持続的脅威(APT)グループや初期アクセスブローカーが企業環境への足がかりを築くために頻繁に悪用しています。
緩和策
SolarWindsはこの脅威に対応するセキュリティホットフィックスをリリースしました。修正済みリリースより前のバージョンを実行しているすべての組織は脆弱な状態にあり、直ちに対応が必要です。セキュリティチームはインフラを保護するために以下の手順を実施してください。
- 影響を受けるすべての企業環境に、SolarWinds Serv-U 15.5.4 Hotfix 1パッチを直ちに適用すること。
- Serv-Uサービスを企業ファイアウォールまたはセキュアなVPNの内側に配置し、外部への露出を制限すること。
- セキュリティログを監視し、
Content-Encoding: deflateHTTPヘッダーを含む異常なPOSTリクエストを検出すること。 - パッチの適用が遅延する場合は、脆弱なServ-Uインスタンスを直ちに無効化または廃止すること。
- オンプレミスおよびクラウドホスト型のServ-U構成の両方でBOD 22-01ガイダンスへの準拠を確保すること。
セキュリティチームは、SolarWindsの公式トラストセンターが提供するアドバイザリおよびNIST NVDのエントリーを継続的に参照し、最新の技術情報と脅威インテリジェンスを把握してください。
翻訳元: https://gbhackers.com/cisa-exploited-solarwinds-serv-u-flaw/
