新たに開示された4件の重大なCVEにより、攻撃者は特権アカウントの作成と任意コードの実行が可能となり、SolarWindsが高価値ターゲットであることが改めて浮き彫りになった。
SolarWindsはセキュリティ問題に引き続き悩まされており、今回はマネージドファイル転送サーバーのServ-Uに関するものだ。
同ソフトウェア企業は、未パッチのサーバーに対して攻撃者がルート(管理者)アクセスを取得できる可能性のある、Serv-Uのリモートコード実行(RCE)脆弱性4件に対するパッチをリリースした。これら4件の共通脆弱性識別子(CVE)はいずれも最高重大度スコアである「クリティカル」と評価されている。
SOCRadarのCISOであるEnsar Seker氏は、これらは「緊急度の高いパッチ適用イベント」として扱うべきだと述べた。「認証前RCEにルートレベルのアクセス取得の可能性があるということは、実質的にシステム全体の侵害を意味する。」
攻撃者による任意コード実行を可能にする脆弱性
Serv-UはWindowsおよびLinux向けに設計されたSolarWindsのセルフホスト型ファイル転送ツールだ。FTPS、SFTP、HTTP/Sを介したファイル交換を可能にするマネージドファイル転送(MFT)およびファイル転送プロトコル(FTP)機能を備えており、企業のファイル交換を支援する。
パッチが適用された脆弱性は以下のとおりだ。
- CVE-2025-40538: 4件の中で最も深刻なもので、このアクセス制御の不備により攻撃者はシステム管理者ユーザーを作成し任意のコードを実行できる。ルートドメインおよびグループ管理者の権限を取得することが可能だ。
- CVE-2025-40539 および CVE-2025-40540: これらの「型の混乱」脆弱性はプログラムを騙して意図しない動作を実行させ、攻撃者がシステムにアクセスしてルートまたは特権アカウントとして悪意あるコードを実行することを可能にする。
- CVE-2025-40541: こちらもアクセス制御の不備であり、脅威アクターがルートまたは特権アカウントとしてネイティブコードを実行できるようになる。
重要な点として、これらの脆弱性を悪用するには、攻撃者があらかじめ対象サーバーの管理者または特権アクセスを取得している必要があることに注意されたい。
しかし、SOCRadarのSeker氏が指摘するように、脅威アクターがパッチ未適用のServ-Uインスタンスを悪用できた場合、任意のコマンドを実行し、マルウェアを展開し、新たな特権アカウントを作成し、セキュリティツールを無効化し、より広範な環境へ横断的に侵害を拡大することが可能となる。
Serv-Uは、その設計上、外部に公開されるファイル転送ソリューションであるため、特にリスクが高い。Seker氏は「多くの組織がパートナー、ベンダー、顧客のためにインターネットに公開している」と述べ、それが攻撃対象領域を「劇的に拡大させる」と指摘した。
攻撃者は機密ファイルを窃取し、転送データを改ざんし、バックドアを埋め込み、サーバーを「ランサムウェアの踏み台」として利用できる可能性がある。Seker氏はさらに、Serv-UがActive Directoryや内部ストレージシステムと統合されている環境では被害範囲がさらに拡大すると指摘した。
「その時点で、もはやファイル転送の問題ではない」と彼は述べた。「ドメイン全体に及ぶインシデント対応のシナリオとなる。」
「都合のいいときにパッチを当てる」状況ではない
Seker氏は、セキュリティ責任者は「緊急性と規律をもって」対応すべきだと述べた。最新バージョンへ直ちにパッチを適用し、Serv-Uがインターネットに公開されているか確認し、アクセス制御を検証し、悪用の兆候がないかログを確認し、関連する認証情報をローテーションすること。悪用が疑われる場合、企業はホストの「完全な侵害」を前提とし、徹底的なフォレンジックレビューを実施すべきだ。
「これは『都合のいいときにパッチを当てる』更新ではなく、『パッチを当てて検証する』状況だ」とSeker氏は述べた。
パッチ適用に加えて、Serv-Uを使用しているすべての人は過去のログを確認し、すでにデータが漏洩していないかチェックする必要があると、Beauceron SecurityのDavid Shipley氏は助言した。
RCEはこれらのファイル転送ツールにとって「非常に深刻な問題」だと同氏は指摘し、MoveITが近年最大規模のデータ漏洩事件の一つであったことを挙げた。
「ルートアクセスは即ち完全な敗北を意味する」と彼は述べた。「この種のツールは、個人を特定できる高度に機密性の高い情報、財務情報、医療情報の転送に使用されている。」
SolarWinds、ハッカーの標的として常に狙われる
SolarWindsは攻撃者に好まれる標的であり続けており、1月下旬には同社はWeb Help Desk(WHD)ITソフトウェアにおける6件の重大な認証バイパスおよびRCE脆弱性にパッチを適用した。そのうち4件はクリティカルと評価されていた。
それ以前には、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が1年前に指摘したWHDのRCE脆弱性に対する2度目のパッチバイパスにも対処していた。
Seker氏は、このようなサイバーセキュリティ問題の再発は、SolarWindsの製品が企業および政府の両環境に広く展開されており、犯罪組織や国家に支援されたアクターにとって「高価値ターゲット」となっているという視認性の高さに一因があると指摘した。
「インフラにおけるソフトウェアの役割が重要であればあるほど、より積極的に調査・攻撃される」と彼は述べた。
しかし、このような重大な脆弱性が繰り返されることは、より広範な教訓を強化すると同氏は指摘した。すなわち、ネットワークの特権的な位置で運用されるベンダーは「極めて成熟した」セキュアな開発ライフサイクルを維持し、「積極的な」サードパーティセキュリティテストを実施しなければならないということだ。
「インフラソフトウェアへの信頼は継続的に獲得されるものであり、一度限りではない」とSeker氏は述べた。
しかし、より重要な教訓は、組織はベンダーの評判だけに頼ることはできないということだ。外部に公開されているすべてのサービス、特に認証やファイル転送を扱うものは、悪用される可能性があるものとして扱う必要があるとSeker氏は指摘した。これには、継続的な外部攻撃対象領域のモニタリング、該当する場合はWebアプリケーションファイアウォール(WAF)による仮想パッチ適用、厳格なネットワークセグメンテーション、ゼロトラストアクセス制御が必要だ。
「問題は、重大な脆弱性が再び現れるかどうかではない――必ず現れる――組織が攻撃者より先にそれらを検出し、パッチを適用し、封じ込めることができるかどうかだ」と彼は述べた。
