SolarWinds、Serv-Uの重大なRCE脆弱性にパッチを適用 – ルートアクセスを許す恐れ
SolarWindsがServ-Uファイル転送ソフトウェアの4件の重大なリモートコード実行(RCE)脆弱性に対するセキュリティアップデートを公開。未認証の攻撃者がルート権限で任意のコードを実行可能に。
SolarWinds、Serv-Uの重大なRCE脆弱性に対するパッチを公開
SolarWindsは、同社のServ-Uファイル転送ソフトウェアに存在する4件の重大な脆弱性に対処するセキュリティアップデートを公開しました。これらの脆弱性は、リモートコード実行(RCE)を可能にし、攻撃者に未パッチのサーバーへのルートレベルアクセスを許す恐れがあります。
主要な詳細
- 影響を受けるソフトウェア: SolarWinds Serv-U(バージョン15.4.2 HF 1より前)
- 脆弱性: 4件の重大なRCE脆弱性(現時点ではCVE IDは未公開)
- 影響: 未認証の攻撃者がルート権限で任意のコードを実行可能
- パッチの提供状況: Serv-U 15.4.2 HF 1で修正済み(2024年7月18日リリース)
技術的概要
これらの脆弱性は、Serv-Uのファイル転送プロトコル実装に存在し、特に悪意のあるリクエストの処理方法に問題があります。SolarWindsは悪用を防ぐために詳細な技術情報を公開していませんが、セキュリティ研究者によると、これらの脆弱性は認証なしでリモートからトリガー可能であると指摘しています。
最も深刻な問題は、攻撃者が認証メカニズムをバイパスし、ルート権限でコマンドを実行できる点です。これにより、脆弱なシステムを完全に制御される恐れがあります。攻撃ベクトルはネットワーク経由でアクセス可能であるため、インターネットに公開されたServ-Uインスタンスにとって特に危険です。
影響評価
これらの脆弱性は、影響を受けるServ-Uバージョンを使用している組織に重大なリスクをもたらします。
- システムの完全な侵害: ルートアクセスにより、攻撃者はマルウェアをインストールしたり、データを流出したり、永続的なバックドアを作成したりすることが可能
- ラテラルムーブメント: 侵害されたServ-Uサーバーが内部ネットワークへの足がかりとなる恐れ
- データ漏洩のリスク: ファイル転送サーバーは機密データを扱うことが多く、高価値なターゲットとなり得る
セキュリティチームは、特にインターネットに公開されているServ-Uインスタンスのパッチ適用を優先すべきです。認証なしで悪用可能であるため、迅速な対応が求められます。
推奨事項
- 即時対応: Serv-U 15.4.2 HF 1以降にアップグレード
- 一時的な緩和策: パッチ適用がすぐにできない場合は、Serv-Uの管理インターフェースへのネットワークアクセスを制限
- 監視: 不審な活動、特に認証試行やファイル転送操作のログを確認
- ネットワークセグメンテーション: 可能な限りServ-Uサーバーを他の重要システムから隔離
- 検証: すべてのServ-Uインスタンスでパッチが正しく適用されたことを確認
SolarWindsは、これらの脆弱性がパッチリリース時点で悪用された報告はないとしています。しかし、潜在的な影響と悪用の容易さを考慮し、セキュリティ専門家はこれらの脆弱性を高い優先度で対処すべきです。
BleepingComputerのSergiu Gatlanによる原文報告。