米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は本日、脅威アクターがSolarWinds Serv-Uファイル転送ソフトウェアにおける、最近修正された深刻な脆弱性を活発に悪用していると警告しました。 ### 深刻なServ-U DoS脆弱性 CVE-2026-28318として特定されたこの脆弱性は、制御されていないリソース消費の弱点に起因する、深刻度の高いサービス拒否（DoS）の欠陥です。SolarWindsは、この問題に対処するため、木曜日にServ-U 15.5.4 Hotfix 1をリリースしました。 SolarWindsによると、この脆弱性によりServ-Uは、認証を必要とせずにサービスをクラッシュさせることができる、特別に細工されたPOSTリクエストに対して脆弱になります。これらの攻撃は`Content-Encoding: deflate`ヘッダーを利用します。リモート攻撃者は、低レベルの複雑さでこのセキュリティ上の欠陥を悪用でき、権限やユーザーの操作は不要です。 Serv-Uは、WindowsおよびLinux向けのSolarWindsのファイル転送ソリューションであり、HTTP/HTTPS、FTP、FTPS、SFTPを介した安全なファイル交換のためのManaged File Transfer（MFT）およびFTPサーバー機能を提供します。 ### 活発な悪用とCISAの指示 SolarWindsがパッチをリリースしてから数日後、CISAはCVE-2026-28318が実際に悪用されていることを指摘しました。同庁は直ちにこれを既知の悪用された脆弱性カタログに追加し、連邦市民執行機関に対し、拘束力のある運用指令（BOD）22-01に従い、6月19日までにサーバーにパッチを適用することを義務付けました。 BOD 22-01は米政府機関を対象としていますが、CISAは民間部門を含むすべてのネットワーク防御者に対し、CVE-2026-28318を利用する継続的な攻撃からネットワークを遅滞なく保護するよう強く求めています。 「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」とCISAは述べています。「ベンダーの指示に従って緩和策を適用し、クラウドサービスに関する適用可能なBOD 22-01ガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」 ### 緩和策 パッチをすぐに展開できない管理者向けに、SolarWindsはServ-Uへのアクセスを知られており信頼されているIPアドレスに制限することを推奨しています。さらに、`content-encoding`を含むPOSTリクエストをブロックすることは、脆弱なServ-Uサービスがこの機能を使用しないため、一時的な緩和策として機能します。 インターネットインテリジェンスプラットフォームは、大きな攻撃対象領域を示しています。Shodanはオンラインで公開されている12,000以上のServ-Uサーバーを追跡しており、Shadowserverは3,100強を特定しています。これらのサーバーのうち、すでにパッチが適用されているサーバーの数は不明なままです。 .jpg) *オンラインで公開されているServ-Uサーバー（Shodan）* ### Serv-U脆弱性の歴史 SolarWinds Serv-Uは、サイバー犯罪グループや国家支援ハッカーの繰り返し標的となってきました。近年、複数の深刻な脆弱性が、機密性の高い企業および顧客データへのアクセスを取得するために悪用されています。 例えば、2021年には、ClopランサムウェアギャングがServ-Uのリモートコード実行（RCE）脆弱性であるCVE-2021-35211を悪用して企業ネットワークに侵入しました。同時に、中国のハッキンググループDEV-0322も、ゼロデイ攻撃でCVE-2021-35211のエクスプロイトを利用しました。 さらに最近では、2024年6月に、サイバーセキュリティ企業GreyNoiseとRapid7が、別のServ-U脆弱性であるパス・トラバーサル脆弱性（CVE-2024-28995）の活発な悪用を観測しました。 ### より広範なSolarWindsの攻撃対象領域 過去数年間、CISAはさまざまなSolarWinds製品にわたる11の脆弱性を、攻撃で活発に悪用されているものとしてカタログ化しており、少なくとも1つはランサムウェアギャングにも悪用されています。この歴史は、SolarWinds製品を使用する組織が、厳格なパッチ適用スケジュールを維持し、堅牢なセキュリティ対策を実装することの極めて重要な重要性を強調しています。