SolarWinds製品に3件の深刻な脆弱性--修正済み

Laura Hautala (CNET News) 翻訳校正: 編集部

2021-02-04 13:20

 サイバーセキュリティ企業Trustwaveの研究者らは米国時間2月3日、大規模なハッキング攻撃の余波も冷めやらぬSolarWindsの製品に、深刻だが悪用されていない3件の脆弱性があったことを発表した。これらの新たな脆弱性はすでにパッチが適用されており、ロシア諜報機関との関連性が疑われている2020年3月からの侵害とは無関係だという。

提供:Getty Images
提供:Getty Images

 Trustwaveの研究者らは、これらの脆弱性を攻撃者がどのように悪用する可能性があったのか、その技術的な詳細については明らかにしなかった。SolarWindsのソフトウェアは、連邦政府、州、地方の政府機関や民間企業の多数のシステムにインストールされているため、同社製品でセキュリティ侵害が発見されて以来、ハッカーがその悪用方法を探そうとしていた可能性がある。

 Trustwaveの脅威インテリジェンスマネージャーであるKarl Sigler氏は、「SolarWindsに(攻撃が)集中しているため、これらのパッチサイクルに注意を払うことが非常に重要だ」と語った。同社は9日にさらなる情報を公開するという。

 SolarWindsは声明で、脆弱性は1月に修正済みだと述べ、「全てのソフトウェア製品には、程度の差こそあれ何らかの脆弱性があるのが一般的だが、現在SolarWindsへの注目が高まっていることは理解している」と付け加えた。

 3件の脆弱性のうち最も深刻なものが悪用された場合、攻撃者はSolarWindsの「Orion」プラットフォームで動作する「User Device Tracker」を使用しているシステムで、自身のコードを実行できた可能性がある。つまりハッカーは、監視ソフトや悪意のあるコードをインストールして、自由にシステムにアクセスできる機会を得ていたかもしれない。また、この脆弱性は被害者の内部システムにアクセスすることなく、リモートから悪用できたという点で深刻だ。

 2つ目の脆弱性は、ハッカーが被害者のOrionプログラムを乗っ取り、そこに保存されているファイルにアクセスできていた可能性があるというものだ。そして3つ目の脆弱性により、SolarWindsのServ-U FTP製品を通じて、被害者のコンピューターやサーバーにあるファイルにアクセスが可能になっていたかもしれない。

 これら2つの脆弱性は、攻撃者が被害者のネットワーク内から、ソフトウェアが動作しているサーバーにログインする必要があったため、悪用するのは困難だっただろう。しかし、例えばハッカーがフィッシング攻撃でユーザーのパスワードを盗んだ場合、脆弱性を悪用できた可能性がある。

 SolarWindsの声明は、以下の通り。

 Trustwaveが発表したOrion 2020.2.4の脆弱性は、2021年1月25日にリリースしたパッチで修正している。またServ-U 115.2.2に関する脆弱性も、2021年1月21日および22日にリリースしたパッチで修正済みだ。

 最近、SolarWindsを含む多くの米国のソフトウェアプロバイダーが、国家支援の攻撃の対象となっているため、当社はSolarWindsを最もセキュアで信頼できるソフトウェア企業にするという目標に向けて、業界パートナーと政府機関と協力して取り組んでいる。

 当社は常に、顧客やその他の組織と連携し、当社の製品ポートフォリオ全体の脆弱性を責任ある方法で、特定して修正することに注力してきた。本日の発表もこのプロセスに沿ったものだ。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    マンガでわかる脆弱性“診断”と脆弱性“管理”の違い--セキュリティ体制の強化に脆弱性管理ツールの活用

  3. セキュリティ

    クラウドセキュリティ管理導入による投資収益率(ROI)は264%--米フォレスター調査レポート

  4. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]