有名FTPサーバーソフト「Serv-U」にゼロデイ脆弱性が見つかる、SolarWindsは修正パッチをリリース
2020年にアメリカ政府機関や民間企業を対象に行われた大規模サイバー攻撃で用いられた「Orion Platform」を提供するSolarWindsが、2021年7月9日に、FTPサーバーソフトウェア「Serv-U」にゼロデイ脆弱(ぜいじゃく)性が発見されたことを報告しています。
SolarWinds Trust Center Security Advisories | CVE-2021-35211
https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
SolarWinds patches critical Serv-U vulnerability exploited in the wild
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild/
Microsoft discovers critical SolarWinds zero-day under active attack | Ars Technica
https://arstechnica.com/gadgets/2021/07/microsoft-discovers-critical-solarwinds-zero-day-under-active-attack/
SolarWindsは、2021年7月9日に公開したアドバイザリーの中で、「Microsoftから最近、Serv-UのセキュアFTPおよびManaged File Transfer Serverに関連する脆弱性があると通知を受け、この脆弱性を解決するための修正プログラムを開発しました」と報告しました。MicrosoftはSolarWindsへの通知を非公開で行い、「限定的で的を絞った顧客への影響の証拠」を提供したとのことですが、SolarWindsはこれまでのところ影響を受けた可能性がある顧客の数や身元を特定していないと述べています。なお、「CVE-2021-35211」は2つのServ-U製品および2つのコンポーネントであるServ-U Gatewayに固有のものであり、Orion Platformなどその他のSolarWinds製品への影響はないそうです。
今回発見されたゼロデイ脆弱性「CVE-2021-35211」は、悪意を持った攻撃者が対象のServ-U製品をホストしているマシンの特権アクセスを取得し、リモートでコードを実行してデータの表示や変更、または削除が可能となる脆弱性だそうです。SolarWindsによると、Secure Shell(SSH)アクセスを無効にすると「CVE-2021-35211」を利用した攻撃も無効化されるとのこと。
「CVE-2021-35211」の影響を受けるのは、2021年5月5日にリリースされたServ-Uの最新バージョン「15.2.3 HF1」およびそれ以前の全バージョンです。すでにSolarWindsは修正パッチの「15.2.3 hotfix(HF)2」をリリースしており、全ユーザーに修正パッチの適用を呼びかけています。なお、「15.2.3 HF1」を適用済みのユーザーはそのまま「15.2.3 HF2」を適用できますが、「15.2.3 HF1」を適用していなかったり、「15.2.3」以前のバージョンを使用していたりするユーザーは、「15.2.3 HF1」を適用した上で「15.2.3 HF2」を適用する必要があります。
修正パッチの「15.2.3 HF2」は、SolarWindsのカスタマーポータルから入手可能です。
Customer Portal Login | SolarWinds
https://customerportal.solarwinds.com/
なお、SolarWindsは2020年12月13日に「2020年3月と6月に配布したOrion Platformのソフトウェアアップデートが、サプライチェーン攻撃によって改ざんされた可能性がある」と発表しました。この攻撃はロシア政府の支援を受けているハッカーグループによるものであり、アメリカの財務省・国務省・国家電気通信情報管理庁・国立衛生研究所・エネルギー省・国土安全保障省・国家核安全保障局などの省庁に加えて、アメリカの一部の州政府やMicrosoft・Cisco・FireEyeなどの大企業も被害を受けたと報じられています。
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
また、ロシアのハッカーグループとは別に、中国のハッカーグループもOrion Platformの異なる脆弱性を用いてマルウェアを仕掛けていたことがわかっています。
ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに - GIGAZINE
・関連記事
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
ロシア政府の支援を受けるハッキンググループによるアメリカ政府機関へのサイバー攻撃「Solorigate」は当初の予想以上の被害規模の可能性 - GIGAZINE
SolarWinds製ソフトウェアの欠陥を利用したアメリカ政府への新たなハッキングの痕跡が見つかる - GIGAZINE
ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに - GIGAZINE
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明 - GIGAZINE
Microsoftがロシア政府が支援するハッカー組織から再びサイバー攻撃を受けたと発表 - GIGAZINE
・関連コンテンツ
