インターネットからアクセス可能なSolarWinds Web Help Desk(WHD)インスタンスを初期侵入の足がかりとして狙った攻撃では、最近修正された脆弱性がゼロデイとして悪用された可能性があると、Microsoftは述べています。
2025年12月の多段階侵入の一環として、ハッカーは脆弱なWHDの導入環境を侵害し、PowerShellを起動して追加のペイロードをダウンロード・実行しました。
しかし、Microsoftによると、ハッカーが新しい脆弱性を悪用したのか、あるいは実環境で悪用されていることが知られている古いSolarWindsの脆弱性を悪用したのかは確認できなかったといいます。
同社によれば、侵害された製品は2026年1月に修正されたCVE-2025-40551およびCVE-2025-40536の両方に加え、2025年9月に修正されたCVE-2025-26399にも脆弱でした。
未認証のAjaxProxyデシリアライゼーションによるリモートコード実行(RCE)バグとして説明されるCVE-2025-26399は、CVE-2024-28986のパッチ回避であったCVE-2024-28988に対する回避策として公開されました。
欠陥のあるAjaxProxy機能は、CVE-2025-40551の根本原因でもあります。これは未信頼データのデシリアライゼーション問題として説明され、未認証RCEにつながるもので、先週CISAのKEVリストに追加されました。
CVE-2025-40536はセキュリティ制御の回避問題で、攻撃者が有効なAjaxProxyインスタンスを作成し、その後CVE-2025-40551を悪用してRCEを実行できる可能性があります。
「攻撃は2025年12月に発生し、同時に旧来および新しい一連のCVEの両方に脆弱なマシン上で行われたため、初期侵入の足がかりを得るために使用された正確なCVEを信頼性高く確認することはできません」とMicrosoftは指摘しています。
同社は、攻撃者が正規のリモート監視・管理(RMM)ツールであるManageEngineを展開し、リバースSSHおよびRDPアクセスを確立することで永続的なアクセスを獲得する様子を観測しました。
また、起動時にSystem権限でQEMU仮想マシンを起動するスケジュールタスクを設定し、回避とポートフォワーディング経由のSSHアクセスのために仮想化環境を利用していることも確認されました。
一部の事例では、DLLサイドローディングを用いてLSASSメモリにアクセスして認証情報を窃取し、さらに高権限の認証情報を用いてDCSync攻撃を実行し、ドメインコントローラーからパスワードデータを要求していました。
組織は、悪用された脆弱性に対してWHDインスタンスを直ちにパッチ適用し、不正なRMMアプリケーションを特定して削除し、認証情報をローテーションし、侵害されたホストを隔離すべきです。
「この活動は一般的でありながら影響の大きいパターンを反映しています。すなわち、単一の公開アプリケーションが、脆弱性が未修正または十分に監視されていない場合に、ドメイン全体の侵害へ至る経路を提供し得るということです。この侵入では、攻撃者は環境に備わった機能を悪用する手法、正規の管理ツール、そして低ノイズの永続化メカニズムに大きく依存していました」とMicrosoftは指摘しています。
翻訳元: https://www.securityweek.com/recent-solarwinds-flaws-potentially-exploited-as-zero-days/
