- ハッカーがSolarWinds Web Help Deskの脆弱性CVE-2025-40551およびCVE-2025-26399を悪用
- 攻撃者は永続化と制御のためにZoho ManageEngine、Cloudflareトンネル、Velociraptorを展開
- キャンペーンは1月から継続中で、追加のマルウェアを展開する前にセキュリティツールを無効化
マルウェアを展開して警戒を招くリスクを負うよりも、正規のツールを単にインストールして悪用すればよい――。サイバーセキュリティ研究者Huntressの新しい報告によると、ハッカーは最近、少なくとも3つの組織に対してまさにそれを行いました。
調査担当者によれば、SolarWinds Web Help Desk(WHD)プラットフォームには2つの脆弱性があります。1つ目は信頼されていないデータのデシリアライズ脆弱性で、リモートコード実行(RCE)につながる可能性があります。CVE-2025-40551として追跡されており、深刻度スコアは9.8/10(重大)と評価されています。
2つ目は、認証不要のAjaxProxyデシリアライズの欠陥で、こちらもRCEにつながります。これはCVE-2025-26399として追跡されており、スコアも9.8/10です。
VS Codeのダウンロード
これら2つは、正体不明の脅威アクターが標的ネットワークへのアクセスを得て、正規のリモート監視・管理ツールを展開するために悪用しているとみられます。HuntressはZoho ManageEngineに言及したほか、Cloudflareトンネルや、サイバーインシデント対応ツールのVelociraptorについても挙げています。
このキャンペーンは1月中旬に始まり、現在も継続している可能性が高いとのことです。
「2026年2月7日、HuntressのSOCアナリストであるDipo Rodipeは、SolarWinds Web Help Deskの悪用事案を調査しました。この事案では、脅威アクターが永続化のためにZoho MeetingsとCloudflareトンネルを迅速に展開し、さらにコマンド&コントロールの手段としてVelociraptorを使用しました」とHuntressは述べています。
現時点では攻撃者と被害者の身元は不明で、攻撃の目的も分かっていません。Huntressは、犯人が追加のマルウェアを展開する準備として、標的インフラ上で稼働しているあらゆるセキュリティプログラムを無効化するためにアクセス権を利用した点を強調しました。
「Defenderを無効化してからおよそ1秒後に、脅威アクターはVS Codeバイナリの新しいコピーをダウンロードしました」と研究者らは述べています。
別の報告書でMicrosoftも、SolarWinds Web Help Deskが攻撃で悪用されていることを確認したと強調しましたが、どの脆弱性が悪用されたのかは明らかにしませんでした。
