Trusted Design

CVE-2021-35247 の詳細

CVEの情報

説明:
Serv-U web login screen to LDAP authentication was allowing characters that were not sufficiently sanitized. SolarWinds has updated the input mechanism to perform additional validation and sanitization. Please Note: No downstream affect has been detected as the LDAP servers ignored improper characters. To insure proper input validation is completed in all environments. SolarWinds recommends scheduling an update to the latest version of Serv-U.

CVE更新日: 2022-01-10 14:10:17.667000

CVSSバージョン: 3.1

CVSSスコア: 4.3

KEVの情報

KEV更新日: 2022-01-21

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.053450000

EPSS更新日: 2026-04-21 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: medium

Automatable: False

AIを使った解説

解説:

CVE-2021-35247は、SolarWinds Serv-Uにおける入力検証の不備に関する脆弱性です。

1. 脆弱性の概要

CVE-2021-35247は、SolarWinds Serv-UのWebログイン画面がLDAP認証用に設定されている際に影響を受ける、不適切な入力検証の脆弱性です。この脆弱性により、十分にサニタイズされていない文字が認証メカニズムを通過し、LDAPインジェクション攻撃を可能にする可能性があります。SolarWindsは、LDAPサーバーが不適切な文字を無視するため、直接的な下流への影響は検出されていないと述べていますが、適切な入力検証の欠如はセキュリティギャップを示しています。この脆弱性はCWE-20 (Improper Input Validation) に分類されています。

1.1 影響

攻撃者は、Webログイン画面における不適切な文字サニタイズを悪用する可能性があります。これにより、LDAPサーバーの設定によっては、認証コントロールをバイパスしたり、情報を抽出したりする可能性があります。NVDのCVSS 3.xの評価では、機密性(C)と可用性(A)への影響はないとされていますが、整合性(I)への影響は低いと評価されています。一部の報告では、攻撃者が影響を受けるシステムを完全に制御し、データの窃盗、マルウェアのインストール、または運用の中断を引き起こす可能性があると指摘していますが、SolarWindsは下流への影響が検出されていないと述べています。

1.2 深刻度

  • CVSS v3.1 基本評価基準: 5.3 (中) (NISTによる評価)
  • CVSS v2.0 基本評価基準: 5.0 (中) (NISTによる評価)
  • SolarWinds (CNA) によるCVSS v3.1 基本評価基準: 4.3 (中)
  • この脆弱性は、CISAの既知の悪用された脆弱性(KEV)カタログに追加されており、実環境での積極的な悪用が確認されていることを示しています。

2. 対象となる環境

SolarWinds Serv-U File Server が対象です。

2.1 影響を受けるOSバージョン

本脆弱性はSolarWinds Serv-Uソフトウェア自体に存在するため、特定のOSバージョンが直接的に影響を受けるというよりは、Serv-Uのバージョンが重要です。

影響を受けるServ-Uのバージョンは以下の通りです。 * Serv-U 15.2.5 およびそれ以前のバージョン

2.2 影響を受ける設定

  • LDAP認証が設定されているServ-UのWebログイン画面

3. 影響を受けた時の兆候

  • Serv-UのWebログインフォームで、特別に細工されたLDAPメタ文字を含むユーザー名またはパスワードフィールドの操作。
  • LDAPクエリを操作するように設計されたLDAP特殊文字を含むログイン認証情報。
  • Serv-Uアプリケーションから発生する異常なLDAPクエリパターン。
  • 特殊文字ペイロードを含む複数の失敗した試行の後に、予期しない認証の成功。
  • LDAPインジェクション文字(例: *)(|, )(cn=)など)を含むログイン試行がないかServ-U認証ログを監視する。
  • Serv-Uとディレクトリサービス間の異常なLDAPトラフィックパターン。

4. 推奨対策

4.1 本対策

  • SolarWinds Serv-Uをバージョン 15.3 またはそれ以降に直ちにアップデートしてください。
  • このアップデートにより、Webログイン画面に強化された検証およびサニタイズメカニズムが実装されます。

4.2 暫定回避策(緩和策)

  • 悪用試行の証拠がないか認証ログをレビューする。
  • Serv-UのWebインターフェースへの露出を制限するためにネットワークセグメンテーションを実装する。
  • パッチ適用が完了するまで、WebベースのLDAP認証を一時的に無効にすることを検討する。
  • Webアプリケーションファイアウォール (WAF) ルールを実装して、ログインリクエストにおけるLDAPインジェクションパターンを検出およびブロックする。
  • Serv-U Webインターフェースに関連する認証異常に対してSIEMアラートを設定する。
  • Serv-Uサーバーで詳細な認証要求データをキャプチャするために、詳細なログ記録を有効にする。
  • LDAPサーバーの監査ログを設定し、Serv-Uアプリケーションからのすべての認証クエリを追跡する。
  • 疑わしい文字パターンを含む認証失敗に対してリアルタイムアラートを実装する。
  • Webログインインターフェースを標的とした偵察活動がないかアクセスログを定期的にレビューする。
  • 強力なユーザー認証とアクセス制御などのセキュリティ制御を実装する。
  • システムの侵害の兆候を監視する。

不明点

  • 影響を受けるOSバージョンは、Serv-Uソフトウェア自体が影響を受けるため、直接的には指定されていません。
  • 影響を受ける設定は、LDAP認証が設定されているWebログイン画面です。

他に解説すべき観点

  • CISAの既知の悪用された脆弱性 (KEV) カタログへの登録: 本脆弱性はCISAのKEVカタログに登録されており、実環境で積極的に悪用されていることを示しています。これは、早急な対策の必要性を強調するものです。
  • 発見者: Microsoftセキュリティ研究者のJonathan Bar Or (@yo_yo_yo_jbo) 氏がこの脆弱性をSolarWindsに報告しました。
  • Log4jとの関連について: 一部の情報源では、CVE-2021-35247がLog4j関連の攻撃活動と組み合わせて利用された可能性が言及されています。ただし、CVE-2021-35247自体はLog4jの脆弱性ではなく、SolarWinds Serv-Uの入力検証の不備によるものです。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る