サイバーセキュリティ企業Trustwaveの研究者らは米国時間2月3日、大規模なハッキング攻撃の余波も冷めやらぬSolarWindsの製品に、深刻だが悪用されていない3件の脆弱性があったことを発表した。これらの新たな脆弱性はすでにパッチが適用されており、ロシア諜報機関との関連性が疑われている2020年3月からの侵害とは無関係だという。
提供:Getty Images
Trustwaveの研究者らは、これらの脆弱性を攻撃者がどのように悪用する可能性があったのか、その技術的な詳細については明らかにしなかった。SolarWindsのソフトウェアは、連邦政府、州、地方の政府機関や民間企業の多数のシステムにインストールされているため、同社製品でセキュリティ侵害が発見されて以来、ハッカーがその悪用方法を探そうとしていた可能性がある。
Trustwaveの脅威インテリジェンスマネージャーであるKarl Sigler氏は、「SolarWindsに(攻撃が)集中しているため、これらのパッチサイクルに注意を払うことが非常に重要だ」と語った。同社は9日にさらなる情報を公開するという。
SolarWindsは声明で、脆弱性は1月に修正済みだと述べ、「全てのソフトウェア製品には、程度の差こそあれ何らかの脆弱性があるのが一般的だが、現在SolarWindsへの注目が高まっていることは理解している」と付け加えた。
3件の脆弱性のうち最も深刻なものが悪用された場合、攻撃者はSolarWindsの「Orion」プラットフォームで動作する「User Device Tracker」を使用しているシステムで、自身のコードを実行できた可能性がある。つまりハッカーは、監視ソフトや悪意のあるコードをインストールして、自由にシステムにアクセスできる機会を得ていたかもしれない。また、この脆弱性は被害者の内部システムにアクセスすることなく、リモートから悪用できたという点で深刻だ。
2つ目の脆弱性は、ハッカーが被害者のOrionプログラムを乗っ取り、そこに保存されているファイルにアクセスできていた可能性があるというものだ。そして3つ目の脆弱性により、SolarWindsのServ-U FTP製品を通じて、被害者のコンピューターやサーバーにあるファイルにアクセスが可能になっていたかもしれない。
これら2つの脆弱性は、攻撃者が被害者のネットワーク内から、ソフトウェアが動作しているサーバーにログインする必要があったため、悪用するのは困難だっただろう。しかし、例えばハッカーがフィッシング攻撃でユーザーのパスワードを盗んだ場合、脆弱性を悪用できた可能性がある。
SolarWindsの声明は、以下の通り。
Trustwaveが発表したOrion 2020.2.4の脆弱性は、2021年1月25日にリリースしたパッチで修正している。またServ-U 115.2.2に関する脆弱性も、2021年1月21日および22日にリリースしたパッチで修正済みだ。
最近、SolarWindsを含む多くの米国のソフトウェアプロバイダーが、国家支援の攻撃の対象となっているため、当社はSolarWindsを最もセキュアで信頼できるソフトウェア企業にするという目標に向けて、業界パートナーと政府機関と協力して取り組んでいる。
当社は常に、顧客やその他の組織と連携し、当社の製品ポートフォリオ全体の脆弱性を責任ある方法で、特定して修正することに注力してきた。本日の発表もこのプロセスに沿ったものだ。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
