SolarWinds Serv-Uに管理者権限でリモートコード実行を許す深刻な脆弱性
SolarWinds社は、ファイル転送ソフトウェア「Serv-U」の緊急セキュリティアップデートをリリースしました。このアップデートは、管理者権限を持つ攻撃者が影響を受けるシステム上でリモートコードを実行することを可能にする、3つの深刻な脆弱性に対処するものです。これらの脆弱性はすべてCVSSスコア9.1と評価されており、Serv-Uバージョン15.5.3で修正されました。
3つのリモートコード実行(RCE)脆弱性の詳細
今回のセキュリティアップデートでは、それぞれ独立しているものの同等に危険な3つの脆弱性が修正されています。これらの脆弱性は悪用するために管理者権限が必要ですが、一度侵害されると、攻撃者は脆弱なサーバー上で任意のコードを実行する強力な能力を手に入れます。
- CVE-2025-40547:論理的誤用 – リモートコード実行
- CVE-2025-40548:不適切なアクセス制御 – リモートコード実行
- CVE-2025-40549:パス制限バイパス
これらの脆弱性は、セキュリティ研究者のMaurice Moss氏によって発見され、SolarWinds社に責任を持って開示されました。
脆弱性の影響と注意点
これらの脆弱性を悪用するには管理者権限が必要ですが、その深刻度は決して過小評価すべきではありません。管理者アカウントの侵害は、企業環境における一般的な攻撃経路であり続けています。フィッシング、資格情報の窃盗、その他の方法で攻撃者が管理者権限を獲得した場合、これらの脆弱性はシステム侵害への直接的な道筋を提供します。
Windows環境では、サービスが通常、より低い権限のサービスアカウントで実行されるため、リスクは軽減されるとSolarWindsは指摘しています。しかし、組織はこの構成のみを保護策として頼るべきではありません。
バージョン15.5.3における主要なセキュリティ強化
Serv-Uバージョン15.5.3では、脆弱性のパッチに加えて、いくつかの重要なセキュリティ強化が導入されています。
- ブルートフォース攻撃を防ぐためのアカウントロックアウトメカニズム
- 単一IPアドレスからの同時接続制限によるサーバー過負荷の緩和
- X-Forwarded-For検証によるIPスプーフィング対策
- 最小パスワード長の要件
- リソース枯渇を防ぐためのファイルアップロードサイズ制限
- HTTP Strict Transport Security (HSTS) の有効化
- ファイル共有ゲスト認証へのIPブロック機能の拡張
推奨される対策
SolarWinds Serv-Uを実行している組織は、直ちにバージョン15.5.3以降にアップグレードする必要があります。アップデートはSolarWinds社のウェブサイトおよび顧客ポータルから入手可能です。
管理者はまた、不審なアクティビティがないかアクセスログを定期的に確認し、管理者アカウントが最小特権の原則に従っていることを確認すべきです。
なお、SolarWinds社は旧バージョンのサポート終了スケジュールを発表しており、バージョン15.5は2025年10月8日にエンジニアリングサポート終了、2026年10月8日にライフサポート終了となります。旧バージョンのユーザーはセキュリティリスクが増大するため、サポートされているリリースへの移行を優先する必要があります。
元記事: https://gbhackers.com/critical-solarwinds-serv-u-flaws/