ソーラーウィンズ、アクセス権監査ソフトウェアの8つの重大なバグを修正

SolarWinds社は、同社のAccess Rights Manager（ARM）ソフトウェアに8件の重大な脆弱性を修正しました。そのうちの6件は、脆弱なデバイス上で攻撃者がリモートでコードを実行（RCE）することを許していました。

Access Rights Managerは、企業環境において重要なツールであり、管理者が組織のITインフラ全体のアクセス権を管理・監査し、脅威の影響を最小限に抑えるのに役立ちます。

RCEの脆弱性（CVE-2024-23469、CVE-2024-23466、CVE-2024-23467、CVE-2024-28074、CVE-2024-23471、CVE-2024-23470）は、いずれも深刻度スコアが9.6/10と評価されており、パッチを適用していないシステム上で、権限のない攻撃者が、悪用された欠陥に応じてSYSTEM権限の有無にかかわらず、コードまたはコマンドを実行するアクションを実行する可能性があります。

また、認証されていないユーザが、制限されたディレクトリ外のファイルやフォルダにアクセスした後に、任意のファイルを削除したり、機密情報を取得したりできるようにする、3つの重大なディレクトリトラバーサルに関する不具合（CVE-2024-23475およびCVE-2024-23472）にもパッチを適用しました。

また、認証されていない悪意のある行為者がActive Directory環境内のドメイン管理者アクセス権を取得できる、重大性の高い認証バイパスの脆弱性（CVE-2024-23465）も修正されています。

SolarWindsは、水曜日にリリースされたAccess Rights Manager 2024.3のバグとセキュリティの修正で、これらの欠陥（すべてトレンドマイクロのZero Day Initiativeを通じて報告されたもの）にパッチを適用しました。

同社は、これらの欠陥に対する概念実証のためのエクスプロイトが野放しになっているかどうか、また、これらの欠陥のいずれかが攻撃に悪用されているかどうかについては、まだ明らかにしていない。

同社は2月に、Access Rights Manager（ARM）ソリューションのRCE脆弱性5件にパッチを適用しました。

4年前、SolarWindsの社内システムはロシアのハッキンググループAPT29によって侵入されました。この脅威グループは、2020年3月から2020年6月の間に顧客がダウンロードしたOrion IT管理プラットフォームのビルドに悪意のあるコードを注入しました。

当時、全世界で30万社以上の顧客を抱えていたソーラーウィンズは、アップル、グーグル、アマゾンなどの有名ハイテク企業や、米軍、国防総省、国務省、NASA、NSA、郵政公社、NOAA、司法省、米国大統領府などの政府機関を含むフォーチュン500企業の96%にサービスを提供していた。

しかし、ロシアの国家ハッカーは、トロイの木馬化されたアップデートを使用して何千ものシステムにSunburstバックドアを展開したにもかかわらず、さらに悪用するためにSolarwindsのかなり少数の顧客を標的にしただけでした。

サプライチェーン攻撃が公表された後、複数の米国政府機関がこのキャンペーンでネットワークが侵害されたことを確認しました。その中には、国務省、国土安全保障省、財務省、 エネルギー省のほか、国家電気通信情報局（NTIA）、国立衛生研究所、国家核安全保障局が含まれています。

2021年4月、米国政府はロシア対外情報庁（SVR）が2020年のソーラーウィンズの攻撃を指揮したとして正式に告発し、米国証券取引委員会（SEC）は2023年10月、ハッキング前にサイバーセキュリティ防御の問題を投資家に通知しなかったとしてソーラーウィンズを告発した。