サイバーニュース.jp

世界のサイバーなニュースを配信

SolarWinds Web Help Deskの深刻なRCE脆弱性、多段階攻撃で悪用される

カテゴリ:

はじめに:SolarWinds WHDを狙った複合的な攻撃

Microsoftは、インターネットに露出したSolarWinds Web Help Desk (WHD) インスタンスが悪用された多段階の侵入攻撃を観測したと発表しました。この攻撃では、脅威アクターが初期アクセスを獲得した後、組織のネットワーク内で横展開し、他の高価値資産に到達したとされています。

Microsoft Defenderセキュリティリサーチチームによると、この活動に最近開示された脆弱性(CVE-2025-40551、CVSSスコア:9.8、およびCVE-2025-40536、CVSSスコア:8.1)、あるいはすでにパッチが適用されている脆弱性(CVE-2025-26399、CVSSスコア:9.8)のいずれが利用されたかは不明確です。Microsoftは報告書で「攻撃が2025年12月に発生し、旧CVEと新CVEの両方に同時に脆弱なマシンで発生したため、初期の足がかりを得るために使用された正確なCVEを確実に確認することはできない」と述べています。

悪用された脆弱性の種類と影響

  • CVE-2025-40536: 認証されていない攻撃者が特定の制限された機能にアクセスできるセキュリティ制御バイパスの脆弱性です。
  • CVE-2025-40551およびCVE-2025-26399: いずれも信頼されていないデータの逆シリアル化の脆弱性であり、リモートコード実行(RCE)につながる可能性があります。

米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CVE-2025-40551を「既知の悪用された脆弱性(KEV)カタログ」に追加し、連邦政府機関に対し、2026年2月6日までにこの脆弱性に対する修正プログラムを適用するよう命じています。

攻撃の具体的な手口

Microsoftが検出した攻撃では、露出したSolarWinds WHDインスタンスの悪用が成功した結果、認証されていないリモートコード実行が可能となり、WHDアプリケーションのコンテキスト内で任意のコマンドが実行されました。

その後の攻撃の流れは以下の通りです。

  • ペイロードのダウンロードと実行: 侵害されたWHDサービスはPowerShellを起動し、BITS(Background Intelligent Transfer Service)を利用してペイロードをダウンロード・実行しました。
  • 永続性の確立: 脅威アクターは、正規のリモート監視および管理(RMM)ソリューションであるZoho ManageEngineに関連するコンポーネントをダウンロードし、感染したシステムに対する永続的なリモート制御を可能にしました。
  • 内部での活動:
    • ドメイン管理者を含む機密性の高いドメインユーザーとグループの列挙。
    • リバースSSHおよびRDPアクセスによる永続性の確立。攻撃者は、SYSTEMアカウントでQEMU仮想マシンを起動するスケジュールされたタスクを作成し、仮想化環境内で痕跡を隠蔽しながらSSHアクセスをポートフォワーディング経由で公開しようとしました。
    • 一部のホストでは、Windowsアドレス帳に関連する正規のシステム実行ファイル「wab.exe」を使用してDLLサイドローディングを実行し、不正なDLL「sspicli.dll」を起動してLSASSメモリの内容をダンプし、認証情報を窃取しました。
    • 少なくとも1つのケースでは、ドメインコントローラ(DC)をシミュレートしてActive Directory(AD)データベースからパスワードハッシュやその他の機密情報を要求するDCSync攻撃が行われました。

推奨される対策

この脅威に対抗するために、ユーザーは以下の対策を講じることを推奨します。

  • WHDインスタンスを常に最新の状態に保つ
  • 不正なRMMツールを検出し、削除する。
  • サービスアカウントと管理者アカウントのパスワードを定期的にローテーションする。
  • 侵害されたマシンを隔離し、侵害の拡大を制限する。

Microsoftの洞察と教訓

Microsoftは、「この活動は、単一の露出したアプリケーションが、パッチが適用されていない、または監視が不十分な場合に、ドメイン全体の侵害への経路を提供し得るという、一般的でありながら影響の大きいパターンを反映している」と述べています。

さらに、「この侵入において、攻撃者は『living-off-the-land』技術、正規の管理ツール、および低ノイズの永続化メカニズムに大きく依存していました。これらの手口は、多層防御、インターネットに公開されたサービスのタイムリーなパッチ適用、そしてID、エンドポイント、ネットワーク層全体にわたる行動ベースの検出の重要性を改めて強調するものです。」と締めくくりました。

元記事: https://thehackernews.com/2026/02/solarwinds-web-help-desk-exploited-for.html

投稿をさらに読み込む