SolarWinds Web Help Desk flaw is now exploited in attacks
2024/10/16 BleepingComputer — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、SolarWinds Web Help Desk (WHD) に存在する、認証情報ハードコードの脆弱性 CVE-2024-28987 などの、3件の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。IT ヘルプデスク・スイートである SolarWinds Web Help Desk は、政府機関/大企業/医療機関など、世界中で およそ 30万の顧客を擁している。
SolarWinds の脆弱性 CVE-2024-28987 は、ハードコードされた認証情報の問題であり、“helpdeskIntegrationUser” というユーザー名と、“dev-C4F8025E7” というパスワードに起因するものだ。これらの認証情報を悪用する未認証のリモート攻撃者は、 WHD のエンドポイントへのアクセスを達成し、あらゆるデータに対するアクセス/改竄の可能性を手にする。
この脆弱性 CVE-2024-28987 を発見/報告したのは、Horizon3.ai 研究員である Zach Hanley であり、その4日後に、SolarWinds は修正プログラムをリリースし、システム管理者に対して WHD 12.8.3 Hotfix 2 以降への移行を促している。
この脆弱性について、CISA は実環境での悪用を確認し、KEV カタログに登録しているが、悪意の活動に関する詳細を共有せず、ランサムウェアによる悪用の状況を “不明” としている。
2024年11月5日までに、米国の連邦機関および政府機関に対して求められるのは、SolarWinds WHD の安全なバージョンへの更新、もしくは、同製品の使用の停止である。脆弱性 CVE-2024-28987 が活発に悪用されている状況を踏まえ、システム管理者たちに推奨されるのは、設定された期限よりも早く、WDH エンドポイントを保護するための適切な措置を講じることである。
その一方で、10月15日に CISA KEV カタログに追加された、Windows と Mozilla Firefox の脆弱性も、すでに攻撃での悪用が確認されている。CISA は、これらの脆弱性についても、11月5日までに修正するよう求めている。
Windows の脆弱性は、CVE-2024-30088 として追跡されているカーネル TOCTOU 競合状態であり、Trend Micro により積極的な悪用が検出されている。同社は、この悪意の活動について、OilRig (APT34) によるものと断定している。この脆弱性を悪用する OilRig は、感染させたデバイス上で特権を SYSTEM レベルに昇格させている。Microsoft は、2024年6月の Patch Tuesday の一環で、この脆弱性に対応しているが、積極的な悪用が始まった時期は不明だとしている。
Mozilla Firefox の脆弱性 CVE-2024-9680 は、2024年10月8日に ESET の研究員 Damien Schaeffer によって発見され、その 25時間後 に Mozilla により修正された。Mozilla によると、Firefox における CSS アニメーション・タイムラインのレンダリングを通じて、ユーザーのデバイス上でリモート・コード実行を達成する攻撃チェーンを、ESET が 提供しているという。
現時点で ESET は、確認した攻撃について分析中であるが、悪意の活動はロシアから発信されているようであり、おそらく、スパイ活動に使用されていると、同社の広報担当者はコメントしている。
SolarWinds Web Help Desk の脆弱性 CVE-2024-28987 は、ハードコードされた認証情報の問題とのことです。文中に記載されているパスワードからして、開発中に埋め込まれたものを、消し忘れたのかなぁと思ってしまう展開です。CISA KEV への登録に加えて、脆弱なサーバ上でチケットの詳細をダンプする PoC も提供されています。よろしければ、 SolarWinds Web Help Desk で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.