サイバー脅威アクターが、SolarWinds Web Help Desk(WHD)を重大なリモートコード実行(RCE)の欠陥で標的にしています。
セキュリティ企業Huntressは、2026年2月7日に、3つの顧客環境でアクティブな悪用を確認したと報告しました。
攻撃者はこれらの欠陥を利用して、Zoho AssistやVelociraptorなどのツールをインストールし、永続的なアクセスを確保します。
これらは未認証のRCEを可能にし、ログインなしでハッカーがコードを実行できるようにします。12.8.7 HF1(または2026.1)以前のバージョンがリスクにさらされており、CISAはCVE-2025-40551を「Known Exploited Vulnerabilities(既知の悪用されている脆弱性)」リストに追加しました。
悪用はwrapper.exeがjava.exeを起動するところから始まり、その後cmd.exeがCatboxからZoho ManageEngine RMM(TOOLSIQ.EXE)用のMSIを取得します。
これにより、Proton Mailに紐づくアカウントを介したリモート制御が可能になります。攻撃者は次に「net group ‘domain computers’ /domain」でAD探索を実行し、SupabaseからVelociraptor 0.73.4のMSIを展開します。
続いて、トンネル用にCloudflaredをインストールし、(Get-ComputerInfo経由で)システム情報をGCP上のElastic Cloudへ流出させ、レジストリ編集でDefender/Firewallを無効化します。
フェイルオーバースクリプトは、HTTP 406のシグナルを受けると、VelociraptorのC2をCloudflare Workersからv2-api.mooo.comへ切り替えます。永続化には、QEMUベースのSSHバックドアが含まれ、TPMProfilerのようなタスクを介して実行されます。
Huntressは、WHDを使用している78組織の84エンドポイントを監視しています。Microsoftも2月6日に同様の活動を確認しました。
攻撃者はElasticで被害者のトリアージ用にカスタムSIEMを構築し、C2のためにVelociraptor(DFIR)のような正規ツールを混在させます。
組織は、これらのハンズオン攻撃を阻止するため迅速に対応する必要があります。HuntressやMicrosoftなどのベンダーは、パッチ適用とネットワークの見直しを強く推奨しています。
翻訳元: https://cyberpress.org/exploiting-solarwinds-web-help-desk/