SonicWall fixes critical bug allowing SMA 100 device takeover
2021/09/24 BleepingComputer — SonicWall は、Secure Mobile Access (SMA) 100シリーズ製品群に存在する、認証されていない攻撃者による、管理者権限のリモートで取得という、深刻なセキュリティ上の欠陥に対処した。CVE-2021-20034 は、不適切なアクセス制御の脆弱性であり、攻撃を受けやすい SMA 100 シリーズのアプライアンスには、SMA 200/210/400/410/500v が含まれる。
攻撃ベクターを取り除くための一時的な緩和策は存在しない。したがって、影響を受けるユーザーは、可能な限り迅速にセキュリティ・アップデートを導入すべきである。
ワイルドな悪用の形跡はない
この脆弱性を悪用されると、パッチが適用されていない SMA 100 セキュア・アクセス・ゲートウェイから、攻撃者による任意のファイル削除が実行され、工場出荷時の設定で再起動され、デバイスの管理者権限を取得される可能性が生じる。
SonicWall は、「この脆弱性は、制限されたディレクトリへのファイルパスが、不適切に制限されていることが原因であり、任意のファイル削除が生じる可能性がある。
SMA 100シリーズを使用している企業は、直ちに MySonicWall.com にログインし、以下の表にあるパッチを適用したファームウェアに、アップグレードするようにしてほしい。なお、この深刻な pre-auth 脆弱性が、現時点において悪用されている形跡はない」と述べている。
| Product | Platform | Impacted Version | Fixed Version |
| SMA 100 Series | • SMA 200 • SMA 210 • SMA 400 • SMA 410 • SMA 500v (ESX, KVM, AWS, Azure) | 10.2.1.0-17sv and earlier | 10.2.1.1-19sv and higher |
| 10.2.0.7-34sv and earlier | 10.2.0.8-37sv and higher | ||
| 9.0.0.10-28sv and earlier | 9.0.0.11-31sv and higher |
ランサムウェアの標的
SonicWall SMA 100 シリーズ・アプライアンスは、2021年に入ってから、標的組織のネットワークに横入りすることを最終目的とした、ランサムウェア・ギャングの標的となったことが何回かある。たとえば、Mandiant が UNC2447 として追跡している脅威グループは、SonicWall SMA 100 アプライアンスの CVE-2021-20016 ゼロデイを悪用し、FiveHands (HelloKitty と同様に DeathRansom の亜種) という、新しいランサムウェアを展開した。
彼らの攻撃は、2021年2月下旬にセキュリティ・アップデートがリリースされる前には、北米およびヨーロッパの複数組織を標的としてた。この脆弱性は1月にも、SonicWall社 の社内システムを標的とした攻撃で悪用され、その後は、ワイルドかつ無差別に悪用された。7月に SonicWall は、パッチの適用が終了した EoL SMA 100シリーズおよび、セキュア・リモート・アクセス (SRA) 製品を標的とした、ランサムウェア攻撃のリスクが高まっていると警告している。
CrowdStrike と Coveware のセキュリティ研究者たちは、SonicWall の警告に加えて、このランサムウェア・キャンペーンが継続中であると説明している。その3日後には、CISA の研究者たちも調査結果を確認し、以前にパッチが当てられた SonicWall の脆弱性を、脅威アクターたちが狙っていると警告した。
その頃、BleepingComputer も、SonicWall の緊急セキュリティ通知が出される数週間前から、HelloKitty ランサムウェアが脆弱性 CVE-2019-7481 を悪用していたと報じている。先日に SonicWall は、同社の製品が世界215以上の国と地域で、50万人以上の企業ユーザーに利用されていることを明らかにした。同社の製品の多くは、世界最大級の、組織/企業/政府機関のネットワークに導入されている。
SonicWall Secure Mobile Access は、ポリシー・エンジン/コンテキスト・アウェア認証、アプリケーション・レベル VPN などで構成される、アクセス・ゲートウェイ的なプロダクトのようです。現時点では悪用の報告は無いとのことですが、ランサムウェアの標的となるのは時間の問題でしょう。パッチの適用を、お急ぎください。
IoT OT Security News 