Last Updated on 2025-05-07 09:56 by admin
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2025年5月1日、SonicWallのSMA 100シリーズデバイスに影響する2つの脆弱性が積極的に悪用されていると警告した。
対象となる脆弱性は「CVE-2023-44221」(CVSS評価7.2)と「CVE-2024-38475」(CVSS評価9.8)で、SonicWallのSMA 200、SMA 210、SMA 400、SMA 410、およびSMA 500vのセキュアリモートアクセス製品に影響する。
CVE-2023-44221はSMA100 SSL-VPN管理インターフェースにおける「nobody」ユーザーとしての任意コマンド注入の脆弱性であり、2023年12月4日にリリースされたバージョン10.2.1.10-62svで修正された。一方、CVE-2024-38475はApache HTTPサーバ2.4.59以前のmod_rewriteにおける出力の不適切なエスケープに関する脆弱性で、2024年12月4日にリリースされたバージョン10.2.1.14-75svで修正された。
セキュリティ企業WatchTowr Labsは5月2日、これらの脆弱性の技術的詳細と「SonicBoom」と名付けたPoC(概念実証)コードを公開し、両方の脆弱性を連鎖させることで認証をバイパスし、管理者権限を取得できることを示した。攻撃者はこの手法を用いて特定のファイルにアクセスし、ユーザーセッションを乗っ取る可能性がある。
SonicWallは2025年4月29日に勧告を更新し、これらの脆弱性が野外で悪用されている可能性を指摘した。同社は顧客に対し、SMAデバイスに不正ログインがないか確認するよう促している。
CISAは連邦機関に対し、2025年5月22日までにこれらの脆弱性に対するパッチ適用を義務付けている。
from:CISA Warns 2 SonicWall Vulnerabilities Under Active Exploitation
【編集部解説】
SonicWallのSMA 100シリーズデバイスに対する今回の脆弱性攻撃は、企業のリモートアクセス環境を狙った攻撃の典型例といえるでしょう。特に注目すべきは、これらの脆弱性が「チェーン攻撃」として利用されている点です。
まず、CVE-2024-38475(Apache HTTP Serverの脆弱性)を利用して認証をバイパスし、管理者権限を取得します。その後、CVE-2023-44221(コマンドインジェクション脆弱性)を使って任意のコマンドを実行するという手法です。このような複数の脆弱性を組み合わせた攻撃は、単一の脆弱性だけでは実現できない高度な侵害を可能にします。
セキュリティ企業WatchTowrは「SonicBoom」と名付けたPoC(概念実証)コードを公開しました。これにより、脆弱性の検証が容易になる一方で、悪意ある攻撃者による悪用リスクも高まっています。WatchTowrのCEO Benjamin Harris氏は「これらは比較的単純な脆弱性であり、エンタープライズグレードのソリューションでこのような単純なコマンドインジェクションの欠陥が見られるのは残念」と述べています。
注目すべきは、パッチが2023年と2024年にそれぞれリリースされていたにもかかわらず、2025年になって攻撃が活発化している点です。これは多くの組織がパッチ適用を怠っていることを示唆しています。
SonicWallのSMA 100シリーズは多くの企業や政府機関で使用されているVPNゲートウェイであり、リモートワーク環境の重要なセキュリティコンポーネントです。これらのデバイスが侵害されると、内部ネットワークへの不正アクセスや機密データの漏洩につながる可能性があります。
また、SonicWallのデバイスは今回だけでなく、過去にも複数の脆弱性が標的にされてきました。2025年1月には別の脆弱性(CVE-2025-23006)も攻撃されていたことが確認されています。これは最近発見された脆弱性であり、短期間で悪用されていることは、SonicWall製品が攻撃者にとって魅力的な標的となっていることを示しています。
企業のセキュリティ担当者は、CISAの勧告に従い、5月22日を待たずに早急にパッチを適用することをお勧めします。また、不正アクセスの痕跡がないか、ログを確認することも重要です。
今回の事例は、セキュリティパッチの迅速な適用と、定期的なセキュリティ監査の重要性を改めて示しています。リモートアクセス環境のセキュリティは、ハイブリッドワークが定着した現代において、企業のサイバーセキュリティ戦略の中核を担うものであることを忘れてはなりません。
【用語解説】
SonicWall SMA 100シリーズ:
SonicWallが提供するセキュアリモートアクセス製品。企業の従業員がリモートから社内ネットワークに安全にアクセスするためのVPNゲートウェイである。
CISA (Cybersecurity and Infrastructure Security Agency):
アメリカ合衆国国土安全保障省の下で、国家のサイバーセキュリティおよび重要インフラの保護を担当する機関。サイバー攻撃の防止や脅威情報の共有などを行っている。
KEV (Known Exploited Vulnerabilities)カタログ:
CISAが管理する、実際に悪用されている脆弱性のリスト。このリストに掲載されると、米国連邦政府機関は期限内にパッチ適用が義務付けられる。
CVE (Common Vulnerabilities and Exposures):
公開されたセキュリティの脆弱性に付与される識別番号。例えば「CVE-2023-44221」のように表記される。
CVSS (Common Vulnerability Scoring System):
脆弱性の深刻度を数値化する評価システム。0.0~10.0の範囲で表され、7.0以上は「重大」とされる。
PoC (Proof of Concept):
概念実証。理論上の脆弱性が実際に悪用可能であることを証明するためのコードやテクニック。セキュリティ研究者が脆弱性を報告する際によく使用される。
【参考リンク】
SonicWall公式サイト(外部)
SonicWallの製品情報やサポート情報を提供する公式サイト。ファイアウォールやサイバーセキュリティソリューションの詳細を確認できる。
CISA公式サイト(外部)
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁の公式サイト。脆弱性情報や対策ガイドラインを提供している。
WatchTowr Labs(外部)
今回の脆弱性の詳細を公開したセキュリティ研究機関のブログサイト。技術的な分析レポートを公開している。
【参考動画】
【編集部後記】
皆さんの組織ではVPNやリモートアクセスのセキュリティ対策はどのように進めていますか?今回のSonicWallの事例は、パッチが公開されてから1年以上経過した脆弱性が今なお攻撃対象になっていることを示しています。「更新は面倒だから後回し」という判断が、思わぬリスクを招くこともあります。自社のセキュリティ機器の最新状況を確認してみてはいかがでしょうか。また、どのようなリモートアクセスセキュリティの課題に直面されているか、ぜひSNSでシェアいただければと思います。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
