SolarWinds Patches Three Critical Serv-U Vulnerabilities
2025/11/20 SecurityWeek — 今週に SolarWinds が発表したのは、Observability Self-Hosted に存在する深刻度 Medium の脆弱性に対するパッチである。それらの3件の脆弱性は、SolarWinds Serv-U 15.5.2.2.102 に影響を及ぼすものであり、すでにバージョン 15.5.3 のリリースで修正されている。
1件目の脆弱性 CVE-2025-40549 は、パス制限バイパスの問題とされており、管理者権限を持つ攻撃者に対して、不特定のディレクトリ上での任意のコード実行を許すものだ。SolarWinds は、Windows システムでは、パスとホーム・ディレクトリの処理方法が異なることを理由に、この脆弱性の深刻度を Medium と評価している。
2件目の脆弱性である CVE-2025-40548 は、アクセス制御の不備に起因する問題であり、管理者権限を持つ攻撃者に対して、任意のコード実行を許す可能性がある。
3件目の脆弱性である CVE-2025-40547 は、管理者権限を持つ攻撃者がコード実行の起点として利用できる論理エラーである。
なお、Windows 環境のサービスが、デフォルトでは低権限アカウントで実行されることが多いため、SolarWinds は CVE-2025-40547/CVE-2025-40548 を深刻度 Medium と評価している。
脅威アクターたちの戦術において、SolarWinds の脆弱性を悪用することは一般的なことであり、今回の Serv-U の脆弱性も対象となっている。
サイバー・セキュリティ機関 CISA が管理する Known Exploited Vulnerabilities (KEV) カタログを SolarWinds で検索すると、Web Help Desk/Orion/Virtualization Manager/Serv-U に影響を及ぼす7件の脆弱性を参照できる。
SolarWinds Serv-U に3件の脆弱性が存在しますが、いずれに対してもパッチが提供されています。主な原因は、アクセス制御やパス処理の不備にあります。管理者権限を持つ攻撃者であれば、コード実行につながる点が共通しており、権限の扱いが脆弱性の中心にあることが分かります。ご利用のチームは、ご注意ください。よろしければ、SolarWinds での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.