Critical SolarWinds RCE Bugs Enable Unauthorized Network Takeover
2023/10/21 DarkReading — SolarWinds Access Rights Manager Tool (ARM) に存在する8件の脆弱性が新たに発見されたが、そのうちの3件は深刻なものであるという。それにより、パッチの適用されていないシステムを侵害した攻撃者が、最高レベルの特権を獲得する可能性があるという。3年前に世界中が苦労して学んだのは、広範な IT 管理プラットフォームである SolarWinds が、企業ネットワークにおいて独特の重要な位置を占めていることだった。企業ネットワーク内の重要なコンポーネントを監視し、影響を及ぼす力を、最も適切に表しているのが ARM ツールである。そして管理者は、データ/ファイル/システムに対する、ユーザーのアクセス権のプロビジョニング/管理/監査のために、ARM ツールを使用している。
10月19日 (木) に Trend Micro の Zero Day Initiative (ZDI) は、ARM に “High”および “Critical” ランクの脆弱性があることを明らかにした。ZDI の Head of Threat Awareness である Dustin Childs は、「これらのバグのうちで最も深刻なものは、リモートの未認証の攻撃者に対して、システム・レベルでの任意のコード実行を許すものであり、システムの完全な乗っ取りにいたる恐れがある。当社では、悪用の可能性については調査していないが、これらの脆弱性の潜在的な可能性は、かなり悲観的なものだ」と述べている。
SolarWinds ARM の深刻な問題
8件の脆弱性のうちの2件である CVE-2023-35181/CVE-2023-35183 は、権限のないユーザーに対してローカル・リソースと不正なフォルダ・パーミッションの悪用を許すものであり、ローカルでの権限昇格の実行を引き起こす可能性がある。それぞれの深刻度は、CVSS 値 7.8 であり、”High”と評価されている。
さらに、CVE-2023-35180/CVE-2023-35184/CVE-2023-35186 (Trend Micro 評価の CVSS 値は 8.8) は、SolarWinds のサービスまたは ARM API の悪用による、リモート・コード実行 (RCE) を引き起こす可能性がある。
しかし、この中で最も懸念されるのは、Trend Micro が CVSS 値 9.8 “Critical” と評価した3件の RCE 脆弱性 CVE-2023-35182/CVE-2023-35185/CVE-2023-35187である。ただし、SolarWinds は、Trend Micro とは異なり、すべてを 8.8 と評価している。
それぞれのケースにおいて欠如しているのは、 createGlobalServerChannelInternal/OpenFile/OpenClientUpdateFile の各メソッドに対する適切な検証であり、攻撃者はシステムレベル (Windows マシンでの最高特権レベル) で、任意のコード実行を許す恐れがある。
また、その他の5件のバグとは異なり、これら3件の脆弱性を悪用するために、事前の認証は不要であるという。
10月19日 (木) に公開された最新の ARM バージョン 2023.2.1 では、8件の脆弱性の全てが修正されている。SolarWinds のクライアントに推奨されるのは、直ちにパッチを適用することである。
SolarWinds の脆弱性は、サプライチェーン攻撃につながる恐れがあるので怖いですね。SolarWinds に関する直近の記事は、2023/02/17 の「SolarWinds が7つの脆弱性の情報を公開:2月中にパッチ適用予定」です。よろしければ、SolarWinds で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.