SolarWinds Web Help DeskのRCE脆弱性が野放し攻撃に悪用、CISAが緊急パッチ適用を指示
CISAがSolarWinds Web Help Deskの重大なリモートコード実行(RCE)脆弱性CVE-2024-28986をKEVカタログに追加。連邦機関は9月5日までにパッチ適用が義務付けられ、全組織に緊急対応を推奨。
SolarWindsの重大な脆弱性が野放し攻撃に悪用、CISAが警告
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、SolarWinds Web Help Deskに存在する重大なリモートコード実行(RCE)脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、野放し攻撃(in the wild)での悪用が確認されたことを公表しました。連邦文民機関は、Binding Operational Directive(BOD)22-01に基づき、2024年9月5日までにシステムのパッチ適用を完了するよう命じられています。
技術的詳細
この脆弱性は、CVE-2024-28986として追跡されており、SolarWinds Web Help Deskのバージョン12.8.3 HF 1およびそれ以前に存在する認証バイパスの欠陥です。悪用されると、攻撃者は未修正のシステム上で昇格された権限で任意のコードを実行することが可能です。SolarWindsは2024年8月13日にセキュリティアドバイザリを発表し、全ての顧客に対して利用可能なホットフィックスを直ちに適用するよう強く推奨しています。
CISAの指令は連邦機関のみを対象としていますが、セキュリティ専門家は、この脆弱性の重大度(CVSSスコアは未定)を考慮し、脆弱なSolarWinds Web Help Deskを使用している全ての組織がパッチ適用を優先すべきだと警告しています。
影響分析
CVE-2024-28986の野放し攻撃は、以下のような重大なリスクをもたらします:
- 管理者権限での不正なシステムアクセス
- **データの持ち出し(Exfiltration)**やヘルプデスク運用の改ざん
- 侵害されたネットワーク内での横方向移動(Lateral Movement)
- サプライチェーン攻撃の可能性(SolarWindsは2020年のSunburst侵害など、高価値ターゲットとしての歴史がある)
推奨対策
- 緊急パッチ適用:SolarWinds Web Help Desk 12.8.3 HF 2向けのホットフィックスを適用するか、パッチが適用されたバージョンへのアップグレードを直ちに実施。
- ネットワーク分離:修正が完了するまで、Web Help Deskサーバーを重要インフラから隔離。
- 侵害の痕跡(IOC)の監視:不審な認証試行や不正アクセスのログを確認。
- サードパーティリスク評価:SolarWindsシステムへのアクセス権を持つベンダーやパートナーの潜在的なリスクを監査。
CISAがCVE-2024-28986をKEVカタログに追加したことは、特に機密データや重要インフラを管理する組織にとって、この脆弱性への対応が緊急を要することを強調しています。詳細はSolarWindsの公式アドバイザリを参照してください。