サイバーニュース.jp

世界のサイバーなニュースを配信

CISA、SolarWinds Web Help DeskのRCE脆弱性を「悪用されている脆弱性」リストに追加

カテゴリ:

概要:CISAが「悪用されている脆弱性」カタログを更新

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は2月4日、SolarWinds Web Help Desk (WHD) に影響を与える重大なセキュリティ脆弱性を「Known Exploited Vulnerabilities (KEV)」カタログに追加し、攻撃で積極的に悪用されていると警告しました。

主要な脆弱性:SolarWinds Web Help DeskのRCE

今回KEVカタログに追加された主要な脆弱性は、CVE-2025-40551(CVSSスコア: 9.8)として追跡されており、非信頼データのデシリアライゼーションに関するものです。この脆弱性は、認証なしでリモートコード実行(RCE)を可能にする可能性があり、攻撃者がホストマシン上でコマンドを実行できる道を開くとCISAは述べています。

SolarWindsは先週、この脆弱性に対する修正パッチをWHDバージョン2026.1で提供しました。CVE-2025-40551の他に、CVE-2025-40536 (CVSS 8.1)、CVE-2025-40537 (CVSS 7.5)、CVE-2025-40552 (CVSS 9.8)、CVE-2025-40553 (CVSS 9.8)、CVE-2025-40554 (CVSS 9.8) も同時に修正されています。

KEVカタログに追加されたその他の注目すべき脆弱性

SolarWindsの脆弱性とともに、以下の3つの脆弱性もKEVカタログに追加されました。

  • CVE-2019-19006 (CVSSスコア: 9.8): Sangoma FreePBXにおける不適切な認証の脆弱性。管理者パスワード認証をバイパスし、サービスにアクセスする可能性があります。
  • CVE-2025-64328 (CVSSスコア: 8.6): Sangoma FreePBXにおけるOSコマンドインジェクションの脆弱性。認証されたユーザーがtestconnection -> check_ssh_connect()関数を介してコマンドインジェクションを実行し、リモートアクセスを取得する可能性があります。
  • CVE-2021-39935 (CVSSスコア: 7.5/6.8): GitLab Community/Enterprise Editionsにおけるサーバーサイドリクエストフォージェリ(SSRF)の脆弱性。CI Lint APIを介して未承認の外部ユーザーがSSRFを実行する可能性があります。

脅威アクターによる悪用状況

新たに開示された脆弱性が迅速に悪用される事例が相次いでいます。

  • CVE-2021-39935の悪用は、2025年3月にGreyNoiseによって強調され、DotNetNuke、Zimbra Collaboration Suite、VMware vCenter、Ivanti Connect Secureなど、複数のプラットフォームにおけるSSRF脆弱性の悪用が急増した一環として報告されました。
  • CVE-2019-19006の悪用は、2020年11月にCheck Pointが「INJ3CTOR3」と名付けたサイバー詐欺作戦の詳細を公開した際に確認されました。この作戦では、VOIPサーバーが侵害され、アクセス権が売買されていました。
  • Fortinetは、2025年12月初旬から活動している脅威アクターがCVE-2025-64328を悪用し、「EncystPHP」と名付けられたウェブシェルを配布していることを明らかにしました。このウェブシェルは、FreePBXのデータベース構成を収集し、newfpbxというルートレベルユーザーを作成して永続性を確立し、複数のユーザーアカウントパスワードをリセットし、SSHのauthorized_keysファイルを変更してリモートアクセスを確保します。また、ファイルシステム列挙、プロセス検査、アクティブなAsteriskチャネルのクエリ、Asterisk SIPピアのリスト表示、複数のFreePBXおよびElastix構成ファイルの取得など、いくつかの定義済み操作コマンドをサポートするインタラクティブなインターフェースも公開します。

米連邦政府機関への対応指示

米国連邦政府機関(FCEB)は、拘束力のある運用指令 (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities に基づき、CVE-2025-40551を2026年2月6日までに、その他の脆弱性を2026年2月24日までに修正することが義務付けられています。

元記事: https://thehackernews.com/2026/02/cisa-adds-actively-exploited-solarwinds.html

投稿をさらに読み込む