SolarWinds

イメージミッドジャーニー

CISAは12日、SolarWinds社のカスタマーサポート用Web Help Deskソリューションに最近パッチが適用された重要な脆弱性を攻撃者が悪用していると警告した。

ウェブヘルプデスク(WHD)は、ヘルプデスク管理業務を集中化、自動化、合理化するために、世界中の大企業、政府機関、医療・教育機関で広く使用されているITヘルプデスクソフトウェアです。

CVE-2024-28986として追跡されているこのJavaデシリアライゼーションのセキュリティ上の欠陥は、脅威行為者が脆弱なサーバ上でリモートでコードを実行し、悪用に成功した後にホストマシン上でコマンドを実行することを可能にします。

SolarWinds社は、CISAの警告の前日である水曜日に、この脆弱性に対するホットフィックスを発表した。しかし、同社は、すべての管理者が脆弱性のあるデバイスに修正プログラムを適用することを推奨しているものの、実環境での悪用に関する情報は開示していない。

「この脆弱性は認証されていない脆弱性として報告されましたが、SolarWindsは徹底的なテストを行った結果、認証なしでこの脆弱性を再現することはできませんでした。しかし、慎重を期して、すべてのウェブヘルプデスクの顧客に対して、現在提供されているパッチを適用することを推奨します」とソーラーウインズは述べている。

「SAML Single Sign-On(SSO)を使用している場合は、WHD 12.8.3 Hotfix 1を適用しないでください。この問題に対処するための新しいパッチがまもなく提供される予定です。”

また、SolarWinds社は、Hotfixの適用と削除に関する詳細な手順を記載したサポート記事を公開し、管理者はHotfixをインストールする前に、脆弱性のあるサーバーをWeb Help Desk 12.8.3.1813にアップグレードする必要があると警告しています。

同社では、Hotfixの適用に失敗したり、Hotfixが正しく適用されなかったりした場合に問題が発生する可能性があるため、インストール時にファイルを置き換える前に、元のファイルのバックアップを作成することを推奨しています。

CISAは木曜日、CVE-2024-28986をts KEVカタログに追加し、連邦政府機関に対し、BOD(Binding Operational Directive)22-01で義務付けられている通り、9月5日までの3週間以内にWHDサーバーにパッチを適用することを義務付けた。

今年に入り、ソーラーウィンズ社は、同社のAccess Rights Manager (ARM)ソフトウェアにリモート・コード実行(RCE)の重大な欠陥があるとして、7月に8件、2月に5件、合計10件以上のパッチを当てている。

6月には、サイバーセキュリティ企業のGreyNoiseが、ソーラーウィンズがホットフィックスをリリースしてからわずか2週間後、また概念実証(PoC)のエクスプロイトがオンラインで公開されてから数日後に、脅威者がすでにソーラーウィンズのServ-Uのパス・トラバーサルの脆弱性を悪用していると警告した。

ソーラーウインズによると、同社のIT管理製品は世界中で30万以上の顧客に利用されているという。