連邦機関は、サイバー犯罪者および国家主体によって悪用されているという報告を受けて、3つの異なる脆弱性にパッチを適用するために通常より大幅に短い時間しかありません。
サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、すべての連邦民間機関に木曜日までにCVE-2025-26399にパッチを適用するよう通知しました。これは、多くの政府機関がチケッティング、資産追跡およびその他のタスクを処理するために使用している一般的なITサービス管理プラットフォームであるSolarWinds Web Help Deskに影響を与える重大な脆弱性です。このツールはIT支援業務を一元化するために使用されています。
このバグはTrend MicroのZero Day Initiativeが9月に発見し、それ以来研究者たちはそれが悪用されていることを警告しています。
複数のサイバーセキュリティ専門家は、この問題は2024年に発見された脆弱性にさかのぼることができると述べています。CVE-2025-26399はそのバグの3番目の修正です。
「パッチの3回目の反復では、この欠陥が攻撃者の照準に入り、悪用されるかどうかは時が経つまでわかるでしょう」と、TenableのシニアスタッフリサーチエンジニアであるScott Cavezaは9月に述べました。
これは過去1ヶ月でCISAがSolarWinds Web Help Deskツールに影響する脆弱性に即座にパッチを適用するようすべての連邦民間機関に命じたのは3回目です。
2月初旬、CISAは連邦機関に、それに影響する別の脆弱性にパッチを適用するためにわずか4日間を与えました。2週間後、連邦機関はソフトウェアの別のバグにパッチを適用するために3日間の期限を与えられました。
SolarWindsソフトウェアは数十の連邦機関で使用されており、以前は米国史上最大級の国家主体による攻撃の一部としてロシア人ハッカーの標的になりました。
CVE-2025-26399に加えて、CISAは月曜日に悪用されたバグのカタログに2つの他の脆弱性を追加しました。どちらも連邦機関が2週間以内にパッチを適用する必要があります。既知の悪用された脆弱性カタログに追加されたほぼすべての脆弱性には3週間のパッチ期限が与えられ、期限が短縮されるのはまれな状況に限られています。
ITコンパニーIvantiの製品に影響するバグの1つであるCVE-2026-1603は、サイバーセキュリティディフェンダーによると、2月中旬から悪用されていると言われています。ゼロデイ脆弱性に関するGoogleレポートは、中国の国家主体の攻撃者がIvantiツールを侵害するために使用された新規のバグで2025年を通じてIvantiを繰り返し標的にしたことを発見しました。
翻訳元: https://therecord.media/cisa-shortens-patch-deadline-ivanti-solarwinds
