SolarWinds Serv-U 脆弱性が悪用されている:パッチの適用は必須!

SolarWinds patches critical Serv-U vulnerability exploited in the wild

2021/07/12 BleepingComputer — SolarWinds は Serv-U のリモート・コード実行の脆弱性が、単一の脅威アクターにより悪用され、限られた顧客を対象とした攻撃が行われているとして、パッチの適用を顧客に呼びかけている。同社は金曜日に公開されたアドバイザリで、「Microsoft により、限られた顧客を対象とした影響の証拠が提示されているが、SolarWinds としては、この脆弱性によりダイレクトな影響が生じると考えられる顧客数は、現状では見積もられていない。我々の理解する限りでは、他の SolarWinds 製品が、この脆弱性の影響を受けたことはない。また、この攻撃の影響を受けると考えられる顧客の ID も把握していない」と述べている。

このゼロデイ脆弱性 CVE-2021-35211 は、Serv-U Managed File Transfer および Serv-U Secure FTP に影響を与え、攻撃者による悪用が成功した場合、リモートから特権を持って任意のコードを実行できるというものだ。SolarWinds によると、SSH が有効になっていない環境では、この脆弱性は発生しないとのことだ。Microsoft Threat Intelligence Center (MSTIC) および Microsoft Offensive Security Research チームが、2021年5月に公表した最新の Serv-U 15.2.3 HF1 で発見されたバグは、それ以前のすべてのバージョンにも影響する。そして SolarWinds は、Serv-U 15.2.3 HF2 のリリースにより、Microsoft が報告した脆弱性に対応している。また、その他の全ての SolarWinds / N-able 製品 (Orion Platform を含む) は、CVE-2021-35211 の影響を受けないとされる。

同社は、「2021年7月9日 (金) ホットフィックスをリリースした。Serv-U を使用している全ての顧客は、その環境を保護するために、この修正プログラムを直ちにインストールすることを推奨する」と警告している。SolarWinds は、Microsoft が報告した侵害の有無について調べる方法を提供している。それに加えて、Serv-U Assistance という件名のカスタマー・サービス・チケットをオープンすることで、より多くの情報を要求することも可能だ。

昨年に SolarWinds は、ロシアの Foreign Intelligence Service がコーディネートしたとされる、サプライチェーン攻撃に関する情報を公開した。攻撃者は同社のシステムに侵入し、Orion Software Platform のソースコードおよび 2020年3月〜2020年6月にリリースされたビルドを、トロイの木馬化した。その後に、Sunburst として追跡されるバックドアを、18,000 弱のターゲットに配信するために、この悪意のビルドは使用されました。しかし、幸運なことに、脅威アクターは、第2段階の悪用のために、それほど多くのターゲットを選ばなかった。

この攻撃が公開される直前の時点で、世界の30万社にもおよぶ SolarWinds の顧客リストには、Fortune 500 の 425社、米国の通信会社上位10社、そして、米軍/米国防総省/国務省/NASA/NSA/郵政公社/NOAA/米司法省/米大統領府といった、政府機関が含まれていた。米国における複数の政府機関が、SolarWinds サプライチェーン攻撃により侵入されたことを確認しており、そのリストは以下の通りとなる。

•Department of the Treasury
•National Telecommunications and Information Administration (NTIA)
•Department of State
•National Institutes of Health (NIH) (part of the U.S. Department of Health)
•Department of Homeland Security (DHS)
•Department of Energy (DOE)
•National Nuclear Security Administration (NNSA)

SolarWinds は、2020年のサプライチェーン攻撃に関する、修復や事故調査の費用として、2021年3月に $3.5 million を計上したと、この記事は指摘しています。SolarWinds サプライチェーン攻撃の余波と比べて、この費用は少額かとも思われますが、2020年12月までの分であるため、その後の追加費用は増大するものと予想されます。

SolarWinds ハッカーたちのドメインが当局に差し押さえられた
SolarWinds ハッカーたちが 24カ国の政府組織を狙っている
ロシアの諜報機関が SolarWinds ハッキングへの関与を否定
米政府:SolarWinds ハッキングの背後にはロシアの SVR がいるらしい

%d bloggers like this: