SolarWinds Patches High-Severity Vulnerability Reported by NATO Pentester
2024/06/07 SecurityWeek — 6月4日に SolarWinds が発表したのは 、Serv-U および SolarWinds Platform に存在する、複数の深刻な脆弱性に対するパッチである。SolarWinds Platform の最新バージョン 2024.2 には、3つの新しいセキュリティ脆弱性に対処するパッチと、サードパーティ製コンポーネントへの修正が含まれている。
1つ目の脆弱性 CVE-2024-28996 は、SWQL インジェクションの脆弱性に分類される。SQL のサブセットとして提供される、読み取り専用の SWQL の悪用に成功した攻撃者は、SolarWinds データベースに対して、ネットワーク情報を問い合わせることが可能になる。この脆弱性は、NATO Communications and Information Agency のペンテスターである、Nils Putnins により報告された 。
SolarWinds Platform の最新版には、Web コンソールに影響を与える2つの脆弱性 CVE-2024-28999 (競合状態)/CVE-2024-2904 (蓄積型 XSS) に対するパッチも含まれている。
これらの脆弱性は、SolarWinds Platform 2024.1 SR 1 以下のバージョンに影響を及ぼす、ユーザーに推奨されるのは、バージョン 2024.2 へと可能な限り早急にアップデートすることだ。
また、今回の SolarWinds Platform アップデートには、Angular の深刻度 Medium の脆弱性と、OpenSSL の 10件の深刻度 High/Medium の問題の修正も含まれている。これらの脆弱性の大半には、サービス拒否 (DoS:denial-of-service) 状態を引き起こす可能性があるという。
さらに SolarWinds は、Serv-U のディレクトリ・トラバーサルの脆弱性 CVE-2024-28995 (CVSS:8.6) に対しても、6月5日に Hotfix リリースしている。
この脆弱性は、Serv-U FTP Server/Serv-U Gateway/Serv-U MFT Server などの、Serv-U 15.4.2 hotfix 1 以下のバージョンに影響する。Serv-U 15.4.2 hotfix 2 では、Windows と Linux の両方のシステムにおいて、この不具合が解消されている。
現時点において、SolarWinds は、これらの脆弱性の悪用について言及していない。ユーザーと管理者に対して推奨されるのは、可能な限り早急にパッチを適用することだ。
このブログでは、今年に入って4回目の SolarWinds 脆弱性となります。そして今回は、報告者が NATO だと指摘されており、同社製品へのニーズも推測できる展開となっています。よろしければ、SolarWinds で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.