米国のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、その既知の悪用脆弱性カタログに3つの脆弱性を同時に追加しました。このカタログは、デジタル犯罪者によって積極的に悪用されているセキュリティ脆弱性のみを記録するリポジトリです。この暗い帳簿に含まれることは、1つの厳しい現実を意味します:実際の攻撃が今まさに進行中であり、これらのシステムの保有者は最大限の迅速さで必要な対策を実施する必要があります。
現在の危険は、Omnissa Workspace One UEM、SolarWinds Web Help Desk、およびIvanti Endpoint Managerに存在するセキュリティ脆弱性に関するものです。これらの脆弱性により、攻撃者は機密情報へのアクセスを奪うか、ホストサーバー上で任意のコマンドを実行することができます。
最初の脆弱性はCVE-2021-22054で、CVSS重大度スコアは7.5です。これはOmnissa Workspace One UEM(以前はVMware Workspace One UEMと呼ばれていました)のサーバー側リクエスト処理に関する脆弱性です。アーキテクチャへのネットワークアクセスを持つ攻撃者は、認証なしで問い合わせを送信し、機密情報にアクセスすることができます。
2番目の脆弱性はCVE-2025-26399で、CVSS重大度スコアは9.8です。これはSolarWinds Web Help DeskフレームワークのAjaxProxyコンポーネントで発見されました。信頼できないデータの逆シリアル化に関する重大な失敗により、攻撃者はサーバー上で任意のコマンドを実行することができます。MicrosoftとHuntressは最近、攻撃者がすでにこれらのSolarWinds脆弱性を積極的に悪用し、対象のシステムに初期アクセスを獲得していることを報告しました。現在の情報から、これらの攻撃はWarlock身代金ウェアシンジケートによるものと考えられます。
3番目の脆弱性はCVE-2026-1603で、CVSSスコアは8.6です。Ivanti Endpoint Managerの重大な欠陥により、攻撃者は別のアクセス経路を通じて認証をバイパスし、保存されている認証情報を遠隔から取得することができます。この脆弱性を悪用した実際の攻撃に関する詳細な情報はまだ公開されていません。この時点で、Ivantiもセキュリティ速報を更新して積極的な悪用を認めていません。
2025年3月の時点で、GreyNoiseはCVE-2021-22054が同様のSSRF脆弱性と一緒に複数の製品全体で積極的に利用されており、高度に組織化された調整された攻撃の一部を形成していることを報告しました。
CISAは、連邦機関にSolarWinds Web Help Deskのパッチを遅くとも2026年3月12日までに適用することを義務付ける命令を発しました。その他の2つの脆弱性に関するパッチは3月23日までに適用する必要があります。CISAは、このようなセキュリティ脆弱性が深刻な攻撃の入口となることが多く、連邦情報システムの整合性に対する重大な脅威となることを強調しています。
