攻撃者たちは、SolarWindsのマネージドファイル転送プラットフォーム「Serv-U」に存在する深刻な脆弱性を積極的に武器化しています。注目すべき点は、脅威アクターが有効な認証情報も管理者権限も必要とせずにエクスプロイトを実行できることです。精巧に細工された単一のWebリクエストを送信するだけで、システムを即座にクラッシュさせることが可能です。これを受け、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はCVE-2026-28318に関する緊急勧告を発出しました。この高深刻度の欠陥により、リモートの攻撃者は容易に壊滅的なサービス拒否(DoS)状態を引き起こすことができます。
Serv-Uエコシステムの概要
多くの企業は、WindowsおよびLinux環境における安全なデータ交換を管理するためにServ-Uを導入しています。具体的には、FTP、FTPS、SFTP、HTTP、HTTPSといった重要なネットワークサービスをホストすることで、マネージドファイル転送基盤を支えています。これらの主要な経路を通じて、組織は機密性の高い内部データの送受信や外部関係者との通信を行っています。
Deflate悪用ベクターのメカニズム
幸いにも、SolarWindsは2026年6月4日に「Serv-U 15.5.4 Hotfix 1」と呼ばれる修正用ホットフィックスを配布しました。技術的な報告によると、このアーキテクチャ上の障害はリソースの無制限消費に起因しています。脆弱性は、サーバーが特定のContent-Encoding: deflateヘッダー設定を含む細工されたHTTP POSTリクエストを処理する際にトリガーされます。このペイロードによってServ-Uサービスが突然強制終了され、ネイティブの認証チェックポイントが完全に回避されます。
技術的には、この攻撃ベクターに高度な専門知識はほとんど必要なく、ユーザーの操作も一切不要です。管理者が公式パッチを直ちに適用できない場合、SolarWindsは暫定的な防御策の実施を推奨しています。まず、ネットワークアクセスを信頼済みのホワイトリスト登録済みIPアドレスのみに制限することが求められます。次に、問題のあるContent-Encodingヘッダーを含む受信POSTリクエストを積極的にブロックする必要があります。重要な点として、脆弱性のあるファイル転送サブシステムは、通常の本番運用においてこの機能を必要としません。
グローバルな公開状況と必須コンプライアンス要件
現時点で、Shodanのテレメトリによると、12,000件以上のServ-Uインスタンスがインターネット上に公開されたままになっています。また、Shadowserverはグローバルで約3,100件の公開されたデプロイメントを検出しています。ただし、パッチ適用済みのネットワークと脆弱なネットワークの正確な比率は依然として不明です。
ホットフィックス公開から数日後、CISAはCVE-2026-28318を正式に「悪用が確認された脆弱性(KEV)」カタログに追加しました。これにより、米国の連邦民間機関は拘束的運用指令(BOD)22-01の厳格な要件に基づき、6月19日までにこの脆弱性を解消しなければなりません。
この規制指令が法的に拘束するのは連邦機関のみですが、CISAはすべての民間企業に対しても防御策の強化を強く求めています。同庁は、同種のサービス上の欠陥が初期アクセスベクターとして頻繁に悪用されていると明示的に警告しています。パッチを適用せずに放置した場合、重要な企業インフラ全体に深刻なシステムリスクをもたらす恐れがあります。
高度な脅威アクターに狙われ続けるプラットフォーム
歴史的に見て、Serv-Uプラットフォームは高度なサイバー犯罪組織や国家支援型グループから繰り返し標的にされてきました。例えば、悪名高いClopランサムウェアグループは2021年にCVE-2021-35211を武器化し、堅固に防御された企業ネットワークへの侵入を果たしました。同時期には、「DEV-0322」と呼ばれる中国の脅威グループも同じ脆弱性をゼロデイエクスプロイトとして積極的に活用していました。
さらに、2024年6月には脅威アクターがServ-Uの別のパストラバーサル脆弱性を積極的に悪用しました。近年、連邦当局の調査員はSolarWindsの脆弱性11件が実際に悪用されていることを記録しています。憂慮すべきことに、複数のランサムウェア組織がこのリストから複数の脆弱性を流用し、デジタル恐喝活動を展開しています。
翻訳元: https://meterpreter.org/solarwinds-serv-u-bug/
