「三度目の正直?」著名なセキュリティ研究者が問いかける。どうやら同じ重大なJavaデシリアライズ脆弱性に対し、3度目のセキュリティアップデートが行われたようだ。
SolarWindsは、Web Help Desk製品に存在する本質的に同じ重大なJavaデシリアライズ脆弱性に対して、3度目のパッチをリリースしました。元の脆弱性は2024年8月に初めて修正され、CISAからは実際に悪用されているとの警告が出されていました。
「この脆弱性はCVE-2024-28988のパッチバイパスであり、さらにそれはCVE-2024-28986のパッチバイパスです」とSolarWindsは新しいアドバイザリで述べており、最新の問題をCVE-2025-26399として追跡しています。
3つのCVE IDは異なりますが、いずれも同じバグに起因しています。AjaxProxyコンポーネントにおける安全でないJavaデシリアライズの問題で、認証なしでリモートコード実行が可能となります。この脆弱性はCVSS深刻度スケールで10点中9.8と評価されています。
プログラミングにおいて、シリアライズとはデータをバイト列に変換するプロセスであり、通常はネットワークを介して送信するために行われます。デシリアライズはその逆の処理であり、ほとんどのデータ解析操作と同様に、脆弱性の原因となることがあります。
デシリアライズの脆弱性は主にJavaアプリケーションに影響しますが、ASP.NETなど他のプログラミング言語で書かれたアプリも影響を受けることがあります。これらの脆弱性はしばしば任意のコマンド実行につながるため、攻撃者に人気です。
2024年8月にCVE-2024-28986がパッチ適用されたわずか数日後、CISAはこれを既知の悪用脆弱性(KEV)カタログに追加しました。ただし、パッチがリリースされる前にゼロデイとして悪用されていたかどうかは明らかではありません。
2024年10月、SolarWindsはTrend MicroのZero Day Initiative(ZDI)プログラムに参加する研究者によって発見された最初の修正のバイパスに対応する新たなホットフィックスをリリースしました。さらに約1年後、ZDIの研究者がそのバイパスのバイパスを発見しました。
「三度目の正直?」とwatchTowrのプロアクティブ脅威インテリジェンス責任者Ryan Dewhurst氏は問いかけます。「元のバグは実際に野放しで悪用されていましたが、今回の最新パッチバイパスが現時点で積極的に悪用されているという情報はまだありません。しかし、過去の例から見ても、時間の問題だと言えるでしょう。」
パッチバイパスは必ずしも珍しいものではありません。特に信頼できないユーザー入力の安全でない解析に関わる脆弱性の場合はなおさらです。多くの開発者はブラックリスト方式でこうした脆弱性を修正し、既知の概念実証や武器化されたエクスプロイトで使われた特定の入力だけをブロックする傾向があります。
しかし、それでは問題の根本が解決されず、ブラックリストを回避して同じ脆弱なコード部分に到達する他の方法が残されてしまいます。これがどれほど頻繁に起きているかを正確に言うのは難しいですが、多くの開発者はパッチバイパスを別の脆弱性として扱い、バイパスとしては公表しないことが多いのです。
