概要
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は2026年6月5日、SolarWindsのファイル転送ソフトウェア「Serv-U」に存在する高深刻度のサービス拒否(DoS)脆弱性(CVE-2026-28318)を既知悪用脆弱性(KEV)カタログに追加した。この脆弱性はCVSSスコア7.5と評価されており、野外での積極的な悪用が確認されたことを受けての措置となる。CISAはBinding Operational Directive(BOD)22-01に基づき、連邦民間行政機関(FCEB機関)に対して2026年6月19日までに修正版を適用することを義務付けた。また、民間組織に対しても速やかな対応を強く推奨している。
脆弱性の技術的詳細
CVE-2026-28318は、Serv-Uにおける「制御されないリソース消費(CWE-400)」に分類される欠陥だ。攻撃者は認証なしに、Content-Encoding: deflate ヘッダーを含む細工されたPOSTリクエストをServ-Uサーバーに送信するだけで、サービスを過剰なリソース消費状態に追い込みクラッシュさせることができる。攻撃に必要な複雑度は低く、ユーザーの操作も不要なため、遠隔から容易に悪用可能な点が深刻とされている。
SolarWindsは2026年6月4日に修正版「Serv-U 15.5.4 Hotfix 1」をリリースしており、それ以前のすべてのバージョンが影響を受ける。即時パッチ適用が困難な組織向けの緩和策として、アクセスを既知のIPアドレスに限定することや、content-encoding を含むPOSTリクエストをブロックする設定が推奨されている(なお、この機能はアプリケーション上必須ではない)。
露出状況と影響範囲
インターネット上への露出状況も懸念材料となっている。Shodanの調査では12,000件以上のServ-Uインスタンスがインターネットに公開されており、Shadowserverもさらに約3,100台のサーバーを追跡している。これらすべてが脆弱なバージョンを実行しているとは限らないが、パッチ適用率は依然として不明であり、未対応のシステムが多数残存している可能性がある。現時点でランサムウェアグループによる悪用との関連は報告されていないが、認証不要で実行可能な攻撃の性質上、早急な対応が求められる。