CISA KEV 警告 26/02/03:SolarWinds Web Help Desk/GitLab/Sangoma FreePBX の脆弱性を登録

U.S. CISA adds SolarWinds Web Help Desk, Sangoma FreePBX, and GitLab flaws to its Known Exploited Vulnerabilities catalog

2026/02/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SolarWinds Web Help Desk/GitLab/Sangoma FreePBX に存在する脆弱性を、Known Exploited Vulnerabilities (KEV) に追加した。カタログに追加された脆弱性は以下の通りである。

  • CVE-2025-40551:SolarWinds 不適切なデシリアライズ
  • CVE-2021-39935:GitLab の Server-Side Request Forgery (SSRF)
  • CVE-2019-19006:Sangoma FreePBX の不適切な認証
  • CVE-2025-64328:Sangoma FreePBX OS コマンド・インジェクション

1 つ目の脆弱性 CVE-2025-40551 (CVSS:9.8) は、SolarWinds Web Help Desk における、信頼されていないデータのデシリアライズの欠陥である。この脆弱性を悪用する未認証の攻撃者は、リモートコード実行を達成し、基盤ホスト・システム上で任意のコマンドを実行可能となる。これにより、影響を受けるサーバが完全に侵害される恐れが生じる。この欠陥は、Horizon3.ai の研究者 Jimi Sebree により発見された。

2 つ目の脆弱性 CVE-2021-39935 (CVSS:7.5) は、GitLab の Server-Side Request Forgery (SSRF) の問題である。2025年3月に GreyNoise は、SSRF 攻撃の大幅な増加を観測している。この CVE-2021-39935 を含む 10件の SSRF 脆弱性を、約 400のユニーク IP が積極的に標的としていた。これらの IP の多くは、単一の欠陥を狙うのではなく、複数の脆弱性を同時に悪用しようとしていた。この挙動は、一般的なボットネット活動というよりも、自動化または侵害前の偵察行為を示唆している。

3 つ目の脆弱性 CVE-2019-19006 (CVSS:9.8) は、Sangoma FreePBX における不適切な認証に起因するものだ。この脆弱性を悪用するリモート攻撃者は、有効な認証情報を必要とせずにログイン機構を回避し、完全な管理者アクセスを取得し得る。これにより、未認証ユーザーが PBX Web インターフェイスを掌握し、コンフィグの変更/通話ログへのアクセス/ユーザー管理などが、パスワードなしに実行される恐れがある。

4 つ目の脆弱性 CVE-2025-64328 (CVSS:8.6) は、Sangoma FreePBX Endpoint Manager における、認証済み OS コマンド・インジェクション欠陥である。ログインに成功した攻撃者は、testconnection 関数を通じて任意の OS コマンドを注入し、それらを asterisk ユーザー権限で実行できる。これにより、サーバの完全な乗っ取り/データ窃取/ラテラル・ムーブメントの恐れが生じる。

Binding Operational Directive ( BOD ) 22-01:”既知の悪用されている脆弱性による重大リスクの低減” によると、FCEB 機関はカタログに掲載された脆弱性を期限までに修正し、これらの欠陥を悪用する攻撃からネットワークを保護する必要がある。CISA は、SolarWinds の脆弱性に関して、2月6日までの修正を命じている。その他の脆弱性については、2026年2月24日までに対処する必要がある。

専門家たちは、民間組織に対しても、KEV カタログを精査し、自組織のインフラ内に存在する該当脆弱性へ対応することを推奨している。

CISA KEV に、SolarWinds Web Help Desk/GitLab/Sangoma FreePBX の脆弱性が登録されました。1 つ目の SolarWinds の CVE-2025-40551 は、プログラムがデータを取り込む際の検証不足により、悪意ある命令を実行してしまう問題があります。2 つ目の GitLab の CVE-2021-39935 は、外部からの不正なリクエストを、サーバが内部向けに送信してしまうという、設定の不備に起因するものです。また、Sangoma FreePBX では、ログイン画面を素通りできてしまう認証の脆弱性 CVE-2019-19006 と、管理操作の裏側でOSへの直接命令が紛れ込む脆弱性 CVE-2025-64328 が悪用されています。これらの脆弱性は、いずれも攻撃者に対してサーバのコントロールを許し得るものであり、実際に悪用が確認されたことで、CISA が警告を発する事態となっています。よろしければ、CISA KEV ページを、ご参照ください。