Sunburstの悪夢再び? SolarWindsのファイル転送サービスに深刻な脆弱性:Cybersecurity Dive
SolarWindsのファイル転送サービス「Serv-U」に脆弱性が見つかった。CVSSスコア8.6と評価されているこの脆弱性は認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業Rapid7のスティーブン・フューア氏(プリンシパル・セキュリティリサーチャー)のブログ投稿によると(注1)、研究者たちが再現したSolarWindsのファイル転送サービス「Serv-U」の脆弱(ぜいじゃく)性は、非常に悪用しやすい重大なものだという。同氏は、2024年6月11日(現地時間、以下同)に「企業はこの脆弱性に直ちにパッチを当てるべきだ」と主張した。
Sunburstの悪夢再び? SolarWindsのファイル転送サービスに重大な脆弱性
ディレクトリトラバーサルの脆弱性である「CVE-2024-28995」は(注2)、認証されていない攻撃者がサーバの機密ファイルを読み取ることを可能にする。この脆弱性の共通脆弱性評価システム(CVSS)におけるスコアは8.6だ。
同脆弱性の悪用は現状確認されていないが、Rapid7の研究者は「状況はすぐにでも変わる可能性がある」と警告し、2024年6月5日にSolarWindsが発表した修正プログラムを適用するようユーザーに促している。
Rapid7によると、CVE-2024-28995のような深刻度の高い脆弱性は、以前にもスマッシュ・アンド・グラブの状況で狙われたことがあるという。このようなケースでは、ハッカーは被害者に素早くアクセスし、盗んだデータを恐喝に利用した。
例えば、ファイル転送サービス「MOVEit Transfer」の脆弱性である「CVE-2023-34362」や(注3)(注4)、「GoAnywhere MFT」の脆弱性である「CVE-2023-0669」(注5)、最近では「CrushFTP」の脆弱性である「CVE-2024-4040」を狙ったスマッシュ&グラブ・キャンペーンが実行された(注6)(注7)。
フューア氏によると、今回の場合、認証されていない攻撃者は、影響を受けるServ-Uシステムに保存された任意のファイルを読み取ることができるという。
「この脆弱性の影響は、攻撃者が読み取る全てのファイルの機密性が完全に失われることだ。この脆弱性を有する製品はファイル共有ソリューションであり、設計上、システムには、ユーザーがプライベートかつ安全な方法で共有することを意図したファイルが存在する」(フューア氏)
SolarWindsは顧客に対して、以前に発行された緩和策を適用するよう働きかけている(注8)。
SolarWindsの広報担当者は、電子メールで次のように述べた。
「当社はこの脆弱性を公表し、パッチを適用しており、この問題が悪用された形跡はないと認識している。Serv-Uはオンプレミスのソフトウェアであるため、パッチを適用し、より良い環境を保護するために顧客が取るべき手順を確実に認識できるよう、顧客と透明性の高いコミュニケーションを取っている」
Serv-Uの脆弱性は、セキュリティ研究者のフセイン・ダヘール氏によって発見された(注9)。
SolarWindsは、2020年に発生したマルウェア「Sunburst」による攻撃からの影響に対処し続けている。2023年に、米国証券取引委員会(SEC)は(注10)、自社のセキュリティ能力について投資家を欺いたとして同社と同社のCISOを民事告発した。
同社はこれらの容疑を強く否定しており、この攻撃以来、連邦政府当局と緊密に連携し、広範なセキュリティコミュニティーに学びを提供してきた。
(注1)CVE-2024-28995: Trivially Exploitable Information Disclosure Vulnerability in SolarWinds Serv-U(RAPID7)
(注2)CVE-2024-28995 Detail(NIST)
(注3)Progress Software’s MOVEit meltdown: uncovering the fallout(Cybersecurity Dive)
(注4)CVE-2023-34362 Detail(NIST)
(注5)CVE-2023-0669 Detail(NIST)
(注6)Zero-day exploits hit CrushFTP, researchers expect rapid exploitation(Cybersecurity Dive)
(注7)CVE-2024-4040 Detail(NIST)
(注8)SolarWinds Serv-U Directory Transversal Vulnerability (CVE-2024-28995)(SOLARWINDS)
(注9)@Hussein Daher(X)
(注10)SEC charges SolarWinds, its CISO with fraud(Cybersecurity Dive)
関連記事
ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。
Windows OSにインストールされている全てのPHPに影響 緊急度「Critical」の脆弱性が発覚
PHPに重大なセキュリティ脆弱性が存在することが発覚した。この欠陥はWindows OSにインストールされている全てのバージョンのPHPに影響する。
ドワンゴを狙ったサイバー攻撃はランサムウェアだと判明 復旧の見込みは?
ドワンゴは2024年6月8日に発生した「ニコニコ」を含むKADOKAWAグループで発生しているセキュリティインシデントがランサムウェア攻撃によるものであることを明らかにした。
なぜ日本だけサードパーティー侵害が突出するのか? その背景にある根深い慣習
ランサムウェア激化に伴い、関連会社を含めたサプライチェーンのセキュリティ確保は急務となっている。しかし日本企業にはこれを阻む幾つかのハードルがある。それは一体何か。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
人気記事ランキング
- やっぱり訴えられたソフトウェアの「闇利用」 VMwareがシーメンスを痛烈非難
- 無線LAN「Wi-Fi 7」への移行が進まないこれだけの理由
- 中国製IPカメラにCVSS 10.0の脆弱性 ベンダーは“音信不通”
- QRコードはもう止めて…… 筆者が「これはいけるかも?」と思う代替策
- サントリー、フルスクラッチ開発の基幹システムをマイクロサービス化へ 担当者が語る「狙い」
- NECが説く「AIエージェントが特に役立つ“2つの領域”」とは
- AI検知を欺く新型マルウェアが登場 新時代の攻撃ベクトルの幕開け
- AIに「ゲームしよう」 プロダクトキーを盗む魔法のプロンプト
- 生成AI活用、75%が社内向け ただし大手銀行はココが違う
- Geminiを狙う新たな攻撃が登場 HTMLメール内に不可視の命令を埋め込む
ITmediaはアイティメディア株式会社の登録商標です。