最近修正されたSolarWindsの脆弱性、ゼロデイとして悪用されていた可能性（CVE-2025-40551他）

最近修正されたSolarWindsの脆弱性、ゼロデイとして悪用されていた可能性（CVE-2025-40551、CVE-2025-40536、CVE-2025-26399）

SecurityWeek – February 9, 2026

マイクロソフトによると、2025年12月に発生したSolarWindsの侵害で、1月に修正された複数の脆弱性がゼロデイとして悪用されていた可能性が疑われている。

攻撃では、初期アクセスのためにインターネットからアクセス可能なSolarWinds Web Help Desk（WHD）インスタンスが侵害され、PowerShellを生成して追加のペイロードをダウンロードされた。悪用が疑われる脆弱性とその概要は以下の通り。

• CVE-2025-40536：攻撃者が有効なAjaxProxyインスタンスを作成し、CVE-2025-40551を悪用したリモートコード実行（RCE）を可能にするセキュリティ制御バイパス。2026年1月に修正済み。

• CVE-2025-40551：AjaxProxy機能に起因する、信頼できないデータのデシリアライゼーションに関するRCEの脆弱性。2026年1月に修正済み、KEVカタログに追加済み。

• CVE-2025-26399：認証されていないAjaxProxyデシリアライゼーションに起因するRCEの脆弱性。CVE-2024-28986のパッチバイパスであるCVE-2024-28988のバイパス。2025年9月に修正済み。

被害を受けたマシンはこれらすべてに脆弱であったため、攻撃者がSolarWindsのどの脆弱性を悪用したのかは特定できなかったとマイクロソフトは報告している。

攻撃者は正規のリモート監視・管理（RMM）ツール「ManageEngine」を使い、リバースSSHおよびリモートデスクトッププロトコル（RDP）によるアクセスを確立することで永続性を獲得していた。また、起動時にシステム権限でQEMUの仮想マシンを起動するスケジュールタスクを設定し、仮想環境を使用してポート転送を介した回避やSSHアクセスを行っていた模様。ほかにも、DLLサイドローディングを通じてLSASSメモリから資格情報を盗み出し、DCSync攻撃でドメインコントローラーからパスワードデータを窃取しようとしていた事例も報告されている。

この侵害では環境寄生型の攻撃手法や正規のRMMツール、そして堅実な永続化メカニズムが採用されており、公開アプリ1つからドメイン全体が侵害される可能性があるとマイクロソフトは指摘。攻撃を回避するにはWHDインスタンスへのパッチ適用、許可されていないRMMの発見・削除、資格情報のローテーションといった対策を直ちにとり、侵害されたホストを発見した場合には隔離することが推奨される。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

【最新版】インテリジェンス要件定義に関するガイドブック

地政学レポート

OSINT関連レポート

ディープ＆ダークウェブレポート