CVE-2024-28986 (CVSS 9.8): SolarWinds Web Help Desk Users Must Patch Now!
2024/08/13 SecurityOnline — SolarWinds が発表したのは、同社の Web Help Desk ソフトウェアに存在する、深刻な脆弱性に関する緊急のセキュリティ・アドバイザリである。この脆弱性 CVE-2024-28986 には Java Deserialization Remote Code Execution の可能性があり、影響を受けるシステム上で権限のないユーザーに対して、任意のコマンド実行を許すことにもなり得る。この脆弱性の CVSS スコアは 9.8 であり、その深刻さから、緊急の改善が必要とされる。
当初は未認証での悪用が可能だと報告されたが、その後の SolarWinds によるテストの結果として、悪用の前提として認証が必要であることが示された。その一方で、すべての Web Help Desk ユーザーに対して SolarWinds が強く推奨するのは、提供されるパッチを遅滞なく適用し、潜在的な影響を排除することだ。
影響を受けるバージョンとソリューション
SolarWinds Web Help Desk のバージョン 12.8.3 Hotfix 1 未満が、この脆弱性の影響を受ける。このアップデートは、特定された脆弱性に対処するものであり、重要なセキュリティ強化が取り込まれている。また、この脆弱性を修正する際には、手動でコンフィグレーション・ファイルを変更する必要がある。
この Hotfix により、以下のファイルが追加/変更される:
- <WebHelpDesk>\bin\tomcat\lib ディレクトリに、”whd-security.jar” ファイルが追加される。
- <WebHelpDesk>/bin/webapps/helpdesk/WEB-INF/lib/ディレクトリの、”whd-web.jar” ファイルが変更される。
- <WebHelpDesk>/conf/ディレクトリ内の、”tomcat_server_template.xml” ファイルを手動で修正する必要がある。
直ちに必要な措置
脆弱性 CVE-2024-28986 の、重大性と悪用可能性を考慮すると、SolarWinds Web Help Desk を使用している組織にとって不可欠なのは、速やかなパッチ適用とコンフィグ変更となる。それを怠ると、不正アクセス/データ侵害に加えて、IT 運用の大規模な中断などにつながる可能性が生じる。
CISA KEV:2024/08/15:CVE-2024-28986
SolarWinds Web Help Desk Deserialization of Untrusted Data
この記事でポストされたのは 8月13日ですが、それから2日後の 8月15日には、CISA KEV へも登録されています。文中では、悪用の前提として認証が必要だという、SolarWinds のコメントが引用されていますが、KEV に掲載されるということは、すでに米連邦政府内で悪用が検出されたことを意味します。ご利用のチームは、十分に お気をつけください。よろしければ、SolarWinds で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.