SolarWinds Web Help Deskの脆弱性が悪用される

セキュリティ研究者らは、SolarWinds Web Help Deskの重大な脆弱性（CVE-2025-40551）が現在活発に悪用されており、複数の企業顧客が侵害を受けていると警告しています。Huntress Labsの報告によると、3社の顧客がすでにこの脆弱性を悪用されており、攻撃者は侵害されたホストに対してリモートアシスタンスツールを展開しています。

脆弱性の詳細とCISAの警告

CVE-2025-40551は、信頼できないデータのデシリアライゼーションに関する脆弱性であり、攻撃者がリモートでコードを実行することを可能にします。この脆弱性はHorizon3.aiの研究者によって以前に発見され、SolarWindsは1月28日に勧告を発表し、ユーザーにパッチ適用済みのバージョンへのアップグレードを促していました。その数日後、米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、この脆弱性を既知の悪用されている脆弱性（Known Exploited Vulnerabilities）カタログに追加し、その危険性を改めて強調しました。

攻撃手法と脅威アクター

Huntressの調査によると、あるケースでは攻撃者がZoho MeetingsとCloudflareを展開して永続性を確立し、Velociraptorと呼ばれるツールを使用してコマンド＆コントロール能力を獲得していました。さらに、攻撃者はファイルホスティングサービスであるCatboxを利用して、Zoho ManageAgent RMMというリモート管理ツールをステージングし、その後ハンズオンキーボード（手動）での活動に移行したとされています。Huntressの研究者は、脅威グループStorm-2603がこれらの攻撃の背後にいると考えています。

HuntressのシニアディレクターであるJamie Levy氏は、「通常、このような種類のインシデントはWarlockランサムウェアに繋がるが、このケースでは、攻撃者は偵察モードにあり、できるだけ多くの被害者からシステム情報を収集することが主な目的であったようだ」と述べています。

また、Microsoftの研究者も、侵害されたシステム上でリモート監視および管理ツールであるZoho ManageEngineが展開されたという報告を別途行っています。ただし、Microsoftの報告では、この活動がCVE-2025-40551、またはセキュリティ制御バイパスの脆弱性であるCVE-2025-40536、あるいは以前の脆弱性であるCVE-2025-26399と直接関連しているかは確認できていません。

業界の監視状況

Shadowserverは、今週月曜日にWeb Help Deskの公開インスタンスが約150件確認されたと報告しました。これは先週報告された170件からわずかに減少したものの、依然として多数のシステムが潜在的な脅威にさらされていることを示しています。

元記事: https://www.cybersecuritydive.com/news/threat-actors-target-solarwinds-web-help-desk-flaw/811702/