SolarWinds

SolarWinds社は、攻撃者がハードコードされた認証情報を使用して、パッチ未適用のシステムにログインできる重大なWeb Help Deskの脆弱性に対するホットフィックスをリリースしました。

ウェブヘルプデスク(WHD)は、政府機関、大企業、医療・教育機関などで広く利用されているITヘルプデスクソフトウェアで、ヘルプデスク管理業務の自動化と効率化を実現します。SolarWinds社のIT管理製品は、世界中で30万以上の顧客に利用されています。

今週水曜日に対処されたセキュリティ上の欠陥(CVE-2024-28987)は、悪用に成功した後、認証されていない攻撃者が標的のデバイスの内部機能にアクセスし、データを変更することを可能にします。この脆弱性は、Horizon3.aiの脆弱性研究者であるZach Hanleyによって発見され、報告されました。

SolarWinds社は、このWHDの脆弱性に関するセキュリティアドバイザリをまだTrust Center上で公開しておらず、Web Help Desk 12.8.3 Hotfix 2がリリースされる前にCVE-2024-28987が悪用されたかどうかも明らかにしていない。

同社はこのHotfixのインストールと削除に関する詳細な手順を提供しており、管理者に対しては、今週のHotfixを適用する前に、脆弱性のあるサーバーをWeb Help Desk 12.8.3.1813または12.8.3 HF1にアップグレードするよう警告しています。

また、Hotfixのインストール時にファイルを置き換える前に、元のファイルのバックアップを作成しておくことをお勧めします。

SolarWinds CVE-2024-28987

このHotfixでは、悪用されているWeb Help DeskのRCEバグも修正されています。

このHotfixには、WHDのリモートコード実行に関する重大な脆弱性(CVE-2024-28986)の修正も含まれています。この脆弱性は、8月14日に別のHotfixで修正され、その2日後にCISAにより悪用された攻撃としてタグ付けされました。

CISAは1週間前にCVE-2024-28986をKEVカタログに追加し、連邦政府機関に対し、BOD(Binding Operational Directive)22-01で義務付けられている通り、9月5日までにネットワーク上のすべてのWHDサーバーにパッチを適用するよう義務付けています。

「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府企業に重大なリスクをもたらす」とサイバーセキュリティ機関は警告している。

今年に入り、ソーラーウィンズ社は、同社のAccess Rights Manager(ARM)ソフトウェアに存在する10以上の重大なリモート・コード実行(RCE)欠陥を、2月に5つ、7月に8つ修正した。

また6月には、サイバーセキュリティ企業のGreyNoiseが、SolarWindsがホットフィックスをリリースした直後に、脅威者がSolarWinds Serv-Uのパス・トラバーサルの脆弱性を悪用していると警告している。