SolarWinds Critical Serv-U Vulnerabilities Enables Root Access
2026/02/25 CyberSecurityNews — SolarWinds Serv-U file server に存在する 4 件 の深刻な脆弱性を修正するセキュリティ更新が公開された。脆弱性 CVE-2025-40538/40539/40540/40541 (CVSS:9.1) を悪用する攻撃者は、影響を受けるシステム上でリモートコード実行を引き起こし、完全な侵害を可能にする恐れがある。一連の脆弱性は、最新バージョンである Serv-U 15.5.4 で修正されている。セキュリティ・チームおよびシステム管理者にとって必要なことは、リリースノートの確認と、速やかなアップデートの適用である。
Serv-U の脆弱性が引き起こす root アクセス
Serv-U コア機能に存在する脆弱性 CVE-2025-40538 の悪用により、任意のネイティブ・コードが root 権限で実行され得る。最も深刻な問題の一つは、アクセスコントロールの破壊である。Domain または Group Admin 権限を持つ攻撃者による、System Admin ユーザーの作成が可能になる。不正な System Admin アカウントを作成した攻撃者は、root 権限で悪意のコマンドを実行できる。
| CVE | CVSS | Affected Component | Affected Versions | Impact |
|---|---|---|---|---|
| CVE-2025-40538 | 9.1 (Critical) | Serv-U Core (Access Control) | Serv-U (unpatched versions) | Admin creation and root code execution. |
| CVE-2025-40539 | 9.1 (Critical) | Serv-U Web Interface | Serv-U (unpatched versions) | Type confusion enables root code execution. |
| CVE-2025-40540 | 9.1 (Critical) | Serv-U Web Interface | Serv-U (unpatched versions) | Type confusion enables root code execution. |
| CVE-2025-40541 | 9.1 (Critical) | Serv-U API / Object Handling | Serv-U (unpatched versions) | IDOR flaw allows root code execution. |
さらに、2 件のタイプ・コンヒュージョンの脆弱性 CVE-2025-40539/CVE-2025-40540 が存在する。これらの脆弱性を悪用する攻撃者は、メモリ破損を引き起こした後に、root 権限で未承認のネイティブ・コード実行へと至る。
それに加えて、Insecure Direct Object Reference (IDOR) の脆弱性 CVE-2025-40541 も修正された。この脆弱性を悪用する攻撃者は、認可機構を回避して内部オブジェクトへの直接アクセスを可能にする。そして root 権限で、リモートコード実行を可能にする。
これら脆弱性を悪用する攻撃者は、完全なシステム制御の奪取を可能にする。その結果として、ランサムウェア展開/機密企業データ窃取/永続的バックドア設置などが引き起こされる可能性がある。
一連の問題を責任を持って開示し、エンジニアリング・チームと協力してパッチを開発した研究者たちに、SolarWinds は謝意を表明した。
機能の強化とアップデートの推奨事項
SolarWinds Serv-U 15.5.4 には、機能の改善とプラットフォーム対応も含まれる。Ubuntu 24.04 LTS が正式にサポートされたことで、エンタープライズ環境での柔軟なデプロイメントが可能になる。
また、SolarWinds は File Share にダウンロード履歴機能を再導入し、レガシー Web クライアント機能との整合性を強化している。さらに、ファイル共有インターフェイスでは、最終更新日時の横に正確な時刻表示が追加された。
Web 脅威対策として、厳格なコンテンツ・セキュリティ・ポリシーが実装され、他 Web サイトへのレガシー・ログイン・ページの埋め込みが防止された。それにより、クリック・ジャッキング攻撃が阻止される。
旧バージョン利用管理者は、end-of-life スケジュールを確認すべきである。バージョン 15.5.1 は、2026年02月18日の時点でエンジニアリング・サポート終了となっている。
ユーザー組織にとって必要なことは、カスタマー・ポータルからの、最新のインストール・ファイルを取得することである。速やかなアップデートにより、深刻なリモートコード実行の脅威からインフラを保護すべきだ。
SolarWinds Serv-U ファイル・サーバーにおいて、脆弱性 CVE-2025-40538/40539/40540/40541 (CVSS:9.1) が修正されました。これらの脆弱性は、いずれも最終的に root 権限でのリモートコード実行 (RCE) につながるものであり、攻撃者に対してサーバ全体の完全な支配権を許す恐れがあります。これらの脆弱性に対応する、最新版 Serv-U 15.5.4 を SolarWinds はリリースしています。このバージョンでは、セキュリティ強化の一環として厳格なコンテンツ・セキュリティ・ポリシー (CSP) が導入され、他サイトへのレガシー・ログイン・ページの埋め込みを防止することで、クリック・ジャッキング攻撃に対処しています。それと同時に、Ubuntu 24.04 LTSの正式サポートや、ファイル共有機能の改善など、利便性の向上も図られています。よろしければ、SolarWinds での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.