SolarWindsは火曜日、Web Help Deskにおけるリモートコード実行(RCE)脆弱性に対するホットフィックスを発表しました。これは同問題に対する3度目の対応となります。
新たに公開されたバグはCVE-2025-26399(CVSSスコア9.8)として追跡されており、認証不要のAjaxProxyデシリアライズRCE脆弱性で、攻撃者がホストマシン上でコマンドを実行できる可能性があります。
「この脆弱性はCVE-2024-28988のパッチ回避であり、さらにそれはCVE-2024-28986のパッチ回避です」とSolarWindsは先週公開したアドバイザリで述べています。
元々のセキュリティ欠陥であるCVE-2024-28986(CVSSスコア9.8)は、認証不要で悪用可能と報告されたJavaデシリアライズRCEバグであり、SolarWindsが2024年8月にホットフィックスをリリースした数日後に悪用が確認されました。
1週間以内に、同社は製品の別の重大な脆弱性CVE-2024-28987(CVSSスコア9.1)に対応する2度目のホットフィックスをリリースしました。これは、最初のホットフィックスの展開時に露出したハードコードされた認証情報を削除するものでした。
2024年10月中旬、米国サイバーセキュリティ庁(CISA)がハードコードされた認証情報が攻撃で悪用されたと警告した同じ日に、SolarWindsはCVE-2024-28988(CVSSスコア9.8)にも対応する3度目のホットフィックスを発表しました。これもAjaxProxyにおける別のJavaデシリアライズRCEです。
「この脆弱性は、ZDIチームが以前の脆弱性を調査し、その報告を行った後に発見されました。ZDIチームは調査中に認証不要の攻撃を発見することができました」と当時SolarWindsは述べています。
現在、同社は新たに公開されたCVE-2025-26399がデシリアライズRCEに対する3度目の修正の試みであり、Trend Micro ZDIと協力する匿名のセキュリティ研究者によって発見されたと説明しています。
広告。スクロールして続きをお読みください。
CVE-2024-28988が実際に悪用されたという報告はこれまでありませんが、問題の重大性と初期脆弱性の過去の悪用事例を踏まえ、ユーザーはできるだけ早くその回避策となるホットフィックスを適用することが推奨されています。
「元のバグは実際に野放しで悪用されていました。今回の最新のパッチ回避が現時点で積極的に悪用されているという認識はありませんが、過去の経緯から時間の問題だと考えられます」とwatchTowrの脅威インテリジェンス責任者Ryan Dewhurst氏は述べています。
SolarWindsはCVE-2025-26399に対応するため、Web Help Desk 12.8.7 Hotfix 1をリリースしました。リリースノートにはホットフィックスの適用方法が詳しく記載されています。
関連記事: Fortra、重大なGoAnywhere MFT脆弱性にパッチを適用
関連記事: Chrome 140アップデート、2025年6件目のゼロデイ脆弱性に対応
翻訳元: https://www.securityweek.com/solarwinds-makes-third-attempt-at-patching-exploited-vulnerability/