SolarWinds WHD攻撃が露出したアプリのリスクを浮き彫りに

出典: tofino via Alamy Stock Photo

脅威アクターがSolarWinds Web Help Desk (WHD)の新たな脆弱性を狙っており、公開インターネットに露出したアプリケーションのリスクをさらに示しています。

SolarWinds WHDは、企業や政府機関が使用するITサポートおよび資産管理プラットフォームです。複数のベンダーが最近、WHDの脆弱性の悪用について警告していますが、どのバグが攻撃を受けているかは完全には明らかではありません。 

先週、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、重大なデシリアライゼーションの欠陥であるCVE-2025-40551を既知の悪用される脆弱性(KEV)カタログに追加しました。CVE-2025-40551は、1月28日にSolarWindsによって、WHDの他の5つの脆弱性とともに最初に公開されました。

先週金曜日のブログ投稿で、MicrosoftはWHDインスタンスに対する多段階侵入を観察したと述べましたが、攻撃が最近の欠陥を悪用したのか、それとも2025年9月に公開された重大なリモートコード実行の欠陥であるCVE-2025-26399などの古い脆弱性を悪用したのかは判断できなかったと述べました。CVE-2025-26399は、CVE-2024-28988として追跡されている以前の欠陥のパッチバイパスであり、CVE-2024-28988自体はさらに古い脆弱性のパッチバイパスでした。

「攻撃は2025年12月に発生し、古いCVEと新しいCVEの両方に脆弱なマシン上で同時に発生したため、初期侵入に使用された正確なCVEを確実に確認することはできません」とMicrosoftはブログ投稿に書いています。 

しかし、明らかなことは、一部の組織がWHDインスタンスを公開インターネット上に露出しており、攻撃者にとって格好の標的になっているということです。

公開アクセス可能なWHDはリスクが高い

Microsoft Defender Research Teamが観察した攻撃では、脅威アクターはliving-off-the-land (LotL)テクニックと、Zoho ManageEngineなどの正規の管理ツールを使用して、被害者のネットワークを通じて高価値資産を標的とする横方向の移動を行いました。しかし、侵入はインターネットに露出したWHDインスタンスから始まり、攻撃者にネットワーク内の最初の足がかりを与えました。

「この活動は、一般的だが影響の大きいパターンを反映しています。脆弱性にパッチが適用されていない、または十分に監視されていない場合、単一の露出したアプリケーションがドメイン全体の侵害への道を提供する可能性があります」とMicrosoftは書いています。

脅威アクターが欠陥の悪用に成功した後、「侵害されたWHDインスタンスのサービスがPowerShellを生成し、BITS [Background Intelligent Transfer Service]を活用してペイロードのダウンロードと実行を行いました」とブログ投稿によると述べられています。

HuntressはWHDインスタンスを標的とする同様の活動を観察しました。日曜日のブログ投稿で、Huntressの研究者は、2月7日の侵入で、脅威アクターが「WHDインスタンス経由でアクセスを取得した後、永続化のためにZoho MeetingsとCloudflareトンネルを迅速に展開した」と指摘しました。 

脅威アクターはまた、コマンド・アンド・コントロール(C2)の目的でデジタルフォレンジックとインシデント対応(DFIR)ツールであるVelociraptorを展開しました。Storm-2603として追跡されている中国に関連する脅威グループは、2025年10月にランサムウェア攻撃のためにVelociraptorを悪用しているのが観察されました。

Huntressは、WHD管理インターフェースはインターネット上で公開アクセス可能であってはならないと警告しました。Huntressのシニアハント&レスポンスアナリストであり、ブログ投稿の共著者であるAnna Phamは、Dark Readingに対し、このような露出は攻撃者にとって「ハードルを劇的に下げる」が、悪用の厳密な前提条件ではないと述べています。

「脆弱なWHDインスタンスへのネットワークアクセスを持つ攻撃者は、同じ欠陥を悪用する可能性があります」とPhamは述べています。「インターネット露出は単に、これらのインスタンスを大規模に発見可能にし、事前の足がかりの必要性を取り除くだけです。」

先週、Shadowserver FoundationはXへの投稿で、CVE-2025-40551のインターネットスキャンにより、約170の脆弱なWHDインスタンスが示されていると述べました。

SolarWinds WHDへの脅威の軽減

Huntressは、組織にWHDインスタンスをファイアウォールまたはVPNの背後に配置し、管理者パスへの直接インターネットアクセスを削除するよう促しました。Huntressの主席セキュリティ研究者であり、ブログ投稿の共著者であるJohn Hammondは、脅威アクターはローカルアクセスでインスタンスの欠陥を悪用できるものの、公開露出により、初期アクセスを得ようとする脅威アクターによる「pray and spray」攻撃のターゲットになると述べています。

さらに、顧客はWHDインスタンスをバージョン2026.1以降に更新し、Zoho AssistやVelociraptorなどの不正なリモートアクセスツールがないかホストを確認する必要があります。

Microsoftはまた、組織がネットワーク内のZoho ManageEngineなどのリモート監視および管理(RMM)ツールを削除し、WHDサービスおよび管理者アカウント、ならびにプラットフォームを介して到達可能なアカウントの認証情報をローテーションすることを推奨しました。