1月のSolarWinds WHDゼロデイが攻撃を受けている

SolarWinds Web Help Desk（WHD）が攻撃を受けている。セキュリティ企業Huntressが顧客報告を分析したところ、最近のインシデントでは、2025年後半にさかのぼるゼロデイおよび修正済みの脆弱性を連鎖させて悪用していることが判明した。

これまで、12月に最初に発覚した顧客システムの一連の侵害の背後に、最近のWHD脆弱性のどの組み合わせがあったのかは不明だった。

1月28日、SolarWindsは「重大」または「高」と評価された6件のCVEに言及するアドバイザリを公開した。これには、CVSSスコア9.8のゼロデイが2件含まれていた。リモートコード実行（RCE）を可能にするデシリアライゼーションの欠陥であるCVE-2025-40551と、認証バイパスであるCVE-2025-40536だ。

クリスマス前に顧客に対するWHD攻撃を検知していたMicrosoft Defender Research Teamでさえ、攻撃者の侵入を許した正確な組み合わせを把握できていなかった。「攻撃は2025年12月に発生し、旧来のCVE群と新しいCVE群の両方に同時に脆弱なマシン上で起きたため、初期侵入に使用された正確なCVEを信頼性高く確認することはできない」と、Microsoftの研究者は2月6日に記した。

しかしここ数日で、Huntressは確認した。常に最も可能性が高かった説明、すなわち攻撃者が上記2つの欠陥を、より古いRCEデシリアライゼーション脆弱性である重大評価のCVE-2025-26399（昨年9月に公表）と組み合わせて連鎖させ、同社の顧客3社を標的にしていたという点だ。

システムが侵害されると、Huntressが検知した攻撃では、身を隠しつつさらに深く潜り込むために複数の手法が混在して用いられていた。具体的には、オープンソースのフォレンジックツールVelociraptorを、暗号化されたCloudflaredのアウトバウンドトンネルに支えられたC2接続として展開する、といった手口が含まれる。

緊急のパッチ適用

SolarWindsによれば、同社のWHDサービス管理／チケッティングプラットフォームは30万の顧客に利用されていると見積もられており、サイバー犯罪者があらゆる機会を捉えてこれを標的にするのは不思議ではない。

WHDはApache Tomcat内で動作するJavaベースのアプリケーションとして構築されている。この文脈では、デシリアライゼーション脆弱性は特に危険だ。攻撃者がリクエスト内に悪意のあるシリアライズ済みJavaオブジェクトを送信でき、WHDが認証なしにそれを自動的にデシリアライズしてしまうためである。その時点で攻撃者はリモートコード実行を達成できる。

「12.8.7 HF1より前のSolarWinds Web Help Deskのすべてのバージョンは、これらの脆弱性の影響を受ける」とHuntressは述べた。

要点はシンプルだ。SolarWinds WHDアプリケーションを緊急にパッチ適用すること。これには、最近の攻撃の一部として悪用された2025年9月のCVE-2025-26399をパッチ適用していない顧客も含まれる。

そのためには、SolarWindsのリリースノートに記載された注意事項に留意しつつ、WHD 2026.1へアップグレードする必要がある。Velociraptor、Cloudflared、またはZoho Assist（キャンペーンでも利用）を使用しているインスタンスは疑わしいものと見なすべきであり、WHDによって起動される「サイレント」なMSIインストールも同様だ。

Huntressはまた、WHDをVPNまたはファイアウォールの背後に配置し、すべてのサービス／管理者アカウントのパスワードをリセットするとともに、WHD自体に保存されているあらゆる認証情報もリセットすることを推奨している。