CISA KEV 警告 26/03/09:SolarWinds Web Help Desk の脆弱性 CVE-2025-26399 を KEV カタログへ登録

SolarWinds Web Help Desk Deserialization Vulnerability Enables Command Execution

2026/03/12 CyberSecurityNews — SolarWinds Web Help Desk に存在する深刻なセキュリティ脆弱性について、サイバーセキュリティ当局は警告を発し、システム管理者に対して直ちに対応するよう呼びかけている。脆弱性 CVE-2025-26399 を悪用する攻撃者は、ホスト・マシン上で不正なコマンドを直接実行する可能性を得る。この脆弱性は、連邦政府機関内での悪用が確認されていることから、米国 Cybersecurity and Infrastructure Security Agency (CISA) Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。

この問題の原因は、”信頼されていないデータのデシリアライズ” の欠陥に起因し、CWE-502 に分類される。この問題は、SolarWinds Web Help Desk の AjaxProxy コンポーネントに存在する。

SolarWinds Web Help Desk のデシリアライズ

デシリアライズとは、ソフトウェアがフォーマットされたデータを展開し、システムが読み取り利用可能なアクティブ・オブジェクトに変換するための、通常のデータ処理プロセスのことである。

しかし、信頼できない外部ソースからのデータの安全性を確認することなく、システムが展開した場合には、深刻なセキュリティ・ギャップが発生する。この SolarWinds の脆弱性は、AjaxProxy コンポーネントが受信したデータ・パケットを処理する前に、その内容を十分に検証していないことに起因する。

この脆弱性を悪用する攻撃者は、細工された悪意あるペイロードを送信することでアプリケーションを欺き、システム・メモリ内で有害な命令を直接実行させることが可能となる。それらの悪意のデータを処理させる攻撃者は、影響を受けるホスト上で任意のコマンドを実行できる。

このレベルのアクセスは極めて危険であり、ヘルプ・デスク・ソフトウェアを実行するサーバへの直接的な制御を、攻撃者へ渡すことに等しい。その結果として侵入者は、機密企業データの窃取/ユーザー・アカウントの操作/内部ネットワークへのラテラル・ムーブメントを実行する可能性がある。

今回の CISA の指定が示すのは、脅威アクターが実際の攻撃において、この欠陥を積極的に悪用していることである。その一方で、現時点でのセキュリティ研究者たちの分析によると、ランサムウェア・グループの恐喝キャンペーンにおいて、この脆弱性の悪用は報告されていない。

公開された SolarWinds Web Help Desk インスタンスを運用する組織は、高い確率で侵害されるというリスクにさらされている。

CISA が即時対応を義務付け

連邦機関および重要インフラ運用者は、きわめて短期間でのネットワーク保護に対応しなければならない。CISA は 2026年3月9日 に CVE-2025-26399 を KEV リストに追加した。Binding Operational Directive (BOD) 22-01 に基づき、フェデラル・シビリアン・エグゼクティブ・ブランチ・エージェンシーは、この脆弱性を 2026年3月12日 までに解決する必要がある。この 3日間という期間の設定は、きわめて珍しいものである。

この指示は政府機関を対象としているが、民間の組織に対しても、同等の緊急性で対応することが強く推奨されている。セキュリティ・チームは、自社の環境を保護するため直ちに対応する必要がある。

CISA とセキュリティ専門家は以下の対策を推奨している。

  • SolarWinds が提供する最新セキュリティ・パッチを直ちに適用し、AjaxProxy コンポーネントの問題を修正する。
  • パッチを適用できない場合はプロダクトの使用を完全に停止し、ネットワークから切断する。
  • ネットワーク・ログを監視し、異常なコマンド実行/予期しない管理者アクセス/異常なアウトバウンド・トラフィックが発生していないことを確認する。
  • 関連するクラウド・サービスのセキュリティについて BOD 22-01 のガイダンスに従う。

SolarWinds Web Help Desk の脆弱性 CVE-2025-26399 の根本的な原因は、 AjaxProxy コンポーネントが外部から受け取ったデータを十分に検証せずに展開したことにあります。本来、システムがデータを利用するために、デシリアライズは必要な処理ですが、信頼できないソースからの入力をそのまま受け入れてしまうと、攻撃者が用意した悪意ある命令がプログラムとして実行される隙が生まれます。SolarWinds Web Help Desk において、データの安全性を見極めるステップが不足していたことが、ホスト上での不正なコマンド実行という深刻な事態を招いています。プログラムが外部データを扱う際の検証が、きわめて重要であることを示す事例です。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページを、ご参照ください。