はじめに
SolarWindsは、同社のITヘルプデスクソフトウェア「Web Help Desk」において、深刻な認証バイパスおよびリモートコード実行(RCE)の脆弱性に対処するためのセキュリティアップデートをリリースしました。
発見された脆弱性の詳細
本日SolarWindsによってパッチが適用された脆弱性は以下の通りです。
- 認証バイパス(CVE-2025-40552およびCVE-2025-40554):watchTowrのPiotr Bazydlo氏によって報告されました。これらは、リモートの非認証攻撃者が低い複雑性で悪用可能です。
- リモートコード実行(RCE)(CVE-2025-40553):信頼できないデータのデシリアライゼーションに起因する深刻な脆弱性で、これもPiotr Bazydlo氏によって報告されました。攻撃者は権限なしに脆弱なホスト上でコマンドを実行できます。
- 第二のRCE(CVE-2025-40551):Horizon3.aiのセキュリティ研究者Jimi Sebree氏によって報告され、非認証攻撃者がリモートでコマンドを実行できます。
- 高 severity のハードコードされた資格情報(CVE-2025-40537):Jimi Sebree氏が発見しました。特定の状況下で、低権限の脅威アクターが管理機能への不正アクセスを許可される可能性がありました。
推奨される対策と背景
SolarWindsは、これらのセキュリティ脆弱性に対処するために、脆弱なサーバーをWeb Help Desk 2026.1にアップグレードするための詳細な手順を提供しています。ハッカーがWeb Help Deskのセキュリティ脆弱性を頻繁に悪用しているため、管理者はできるだけ早くデバイスにパッチを適用することが強く推奨されています。
過去の悪用事例とCISAの警告
たとえば、2025年9月には、SolarWindsはWHDのRCE脆弱性に対する二度目のパッチバイパス(CVE-2025-26399)に対処しました。これは1年以上前から攻撃で積極的に悪用されていたとCISAが指摘し、悪用されたセキュリティバグのカタログに追加され、連邦機関に3週間以内にシステムのセキュリティを確保するよう命じていました。SolarWindsは当時、この脆弱性が「CVE-2024-28988のパッチバイパスであり、これはさらにCVE-2024-28986のパッチバイパスである」と述べています。CISAはまた、2024年10月には、Web Help Deskの別の深刻なハードコードされた資格情報の脆弱性が積極的に悪用されていると指摘し、政府機関にデバイスへのパッチ適用を再度促しました。
Web Help Deskの広範な利用状況
Web Help Desk(WHD)は、大手企業、医療機関、教育機関、政府機関などでヘルプデスク管理に広く利用されています。SolarWindsは、同社のIT管理製品が世界中で30万以上の顧客に利用されていると述べています。