- SolarWinds、9.1/10の深刻度評価を受けた4つの重大なServ-U脆弱性にパッチを適用
- バグは任意のコード実行を許可するが、これまでのところ悪用は観察されていない
- マネージドファイル転送ツールは引き続き高価値の標的である
ビジネスユーザー向けの一般的なファイル転送ソリューションであるSolarWinds Serv-Uが、ハッカーが基盤となるシステム上で任意のコード実行を可能にする複数の高リスク脆弱性を含んでいたと、同社は警告しています。
最近リリースされたセキュリティアドバイザリーで、SolarWindsはこれらの脆弱性の詳細を説明し、それに対処するパッチをリリースしました。
4つの脆弱性すべてに9.1/10(重大)の深刻度評価が与えられました。これらには、CVE-2025-40538として追跡される「破損したアクセス制御RCE脆弱性」、2つのタイプ混乱RCE脆弱性(CVE-2025-40540およびCVE-2025-40539)、およびCVE-2025-40541として追跡される「不安全な直接オブジェクト参照RCEバグ」が含まれます。
まだ悪用されていない
SolarWindsは社内セキュリティチームにこれらの脆弱性の発見を認め、4つすべてがバージョン15.5.4で対処されたと述べ、すべての顧客に直ちにアップグレードするよう促しています。
The Registerと共有した声明で、同社は野外でこれらの脆弱性が悪用されている証拠がないと述べています:「悪用は観察されていません。顧客とパートナーと密接に協力して、問題が迅速に解決されることを確認することにコミットしています。SolarWindsは、ソフトウェアのセキュリティと完全性を確保するため、CVEの迅速な解決を優先し続けています」と同社は出版物に語りました。
本稿の執筆時点で、これらの脆弱性はCISAの既知悪用脆弱性(KEV)カタログにも見つけられません。
しかし、マネージドファイル転送ソリューションは常に主要なサイバー攻撃の標的であり、過去には複数の機会で大規模なハッキングイベントの中心にありました。
おそらく最も有名なのはMOVEit大惨事で、2023年5月下旬にロシアのランサムウェア操作者Cl0pが重大なゼロデイを悪用しました。年末を迎え2024年初頭には、調査と集計された侵害データによって、世界中の2,700を超える組織が攻撃の影響を受けたことが示されました。
数ヶ月前、同じグループはGoAnywhere(別のマネージドファイル転送ソリューション)をターゲットにし、130のビジネスが侵害されたと言われています。
もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを取得し、WhatsAppでも私たちから定期的な更新を受け取ることができます。
