SolarWindsのネットワーク管理ツールに「緊急」の脆弱性 急ぎ対処を：セキュリティニュースアラート

Zero Day InitiativeはSolarWinds Access Rights Managerに重大な脆弱性があると報じた。この脆弱性は認証せずに悪用可能で、CVSSスコア値「9.6」が付けられている。

[後藤大地，有限会社オングス]

　Trend Micro傘下の脆弱（ぜいじゃく）性発見コミュニティーZero Day Initiative（以下、ZDI）は2024年3月28日（現地時間、以下同）、ネットワーク管理ツール「SolarWinds Access Rights Manager」に深刻度「緊急」（Critical）の脆弱性が存在すると報告した。

SolarWinds Access Rights Managerに「緊急」の脆弱性　急ぎ対処を

　同脆弱性はCVE-2024-23476として特定されており、共通脆弱性評価システム（CVSS）のスコアは「9.6」が付けられている。この脆弱性が悪用されると、リモートからサイバー攻撃者によって任意のコードが実行される危険性がある。なお、この脆弱性を悪用するために認証は必要ないという。

　脆弱性の問題はSolarWinds Access Rights Managerの「OpenFile」メソッドに存在している。ファイル操作を実行する前にユーザーが指定したパスを適切に検証していないことが引き金になっており、サイバー攻撃者はこの脆弱性を利用して「SYSTEM」権限で任意のコードを実行できる可能性がある。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• SolarWinds Access Rights Manager 2023.2.2およびこれ以前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• SolarWinds Access Rights Manager（ARM） 2023.2.3

　この脆弱性についてはSolarWindsが「SolarWinds Trust Center Security Advisories | CVE-2024-23476」で情報を公開している。

　同脆弱性の情報は2023年12月22日の段階で既にSolarWindsに通知されている。その後関係者間で調整したのち、2024年3月28日に情報公開に至っている。修正済みのバージョンが公開されていることから、該当製品を使用している場合は迅速にアップデートを適用することが求められる。