SolarWinds製品に新たに3つの脆弱性、アップデートを

収束の気配が見えないSolarWinds問題。新たにリモートからのコード実行や機密情報の窃取などが可能になる3つの脆弱性が見つかったとの報告が出た。すでに修正版やパッチが公開されているので対応を急いでほしい。

[後藤大地，有限会社オングス]

　セキュリティソリューションベンダーのTrustwaveのリサーチ部門であるSpiderLabsは2021年2月3日（現地時間）、2つのSolarWinds製品に新しく3つのセキュリティ脆弱（ぜいじゃく）性が存在すると伝えた。

　脆弱性が存在するとされる製品は次の通りだ。

• SolarWinds Orion Device Tracker
• SolarWinds Serv-U FTP

　この問題はすでに開発元のSolarWindsに報告されており、SolarWindsは修正版およびホットフィックスを提供している。　

Full System Control with New SolarWinds Orion-based and Serv-U FTP Vulnerabilities｜Trustwave

　SolarWinds製品を端緒とするセキュリティインシデントは未だに全貌が明らかになっていない。問題発覚から今までの情報の一部は下記でも折に触れ紹介してきた通りだ。

SolarWinds問題の関連記事

• 世界中のサプライチェーンに影響するサイバー攻撃確認、今後さらに増加も
• SolarWindsが2つ目の修正版公開、ただちにアップグレードを
• 「SolarWinds問題」はより大きな脅威の一端か、当局から新しい警告
• 「Sunburst」の被害はどこまで？　SolarWinds Orionを介した攻撃の詳細と対策方法
• Sunburstに攻撃者特定のヒントか、既存のマルウェアに類似点
• SolarWindsのビルド中にSunburstを混入させた手口の詳細が明らかに
• 第4のマルウェア「Raindrop」発見　続くSolarWindsサイバー攻撃の解析

新たに発見された脆弱性の詳細と修正版の詳細は