SonicWall: Patch critical SQL injection bug immediately
2022/07/22 BleepingComputer — 今日、SonicWall は、GMS (Global Management System)/Analytics On-Prem 製品における、SQL インジェクションの脆弱性に対してセキュリティ・アドバイザリを公開した。SonicWall PSIRT は、このアドバイザリで、Analytics On-Prem の以下のバージョンを使用しているユーザーに対して、パッチ適用済みバージョンへの迅速なアップグレードすることを強く推奨している。
この脆弱性 CVE-2022-22280 (CVSS:9.4) は、SQL コマンドで使用される特殊要素の不適切な無効化により、SQL インジェクションを可能にするものだ。認証/ユーザー操作を必要とせずに、ネットワークからの悪用が可能であり、攻撃の複雑性も低いとされるため、深刻度は Critical に分類されている。
現時点において SonicWall は、この脆弱性を悪用した活発な悪用の報告/PoC (概念実証) の存在は認識していないとしている。しかし、この脆弱性の悪用を最小限に抑えるためには、利用可能なセキュリティ・アップデートと緩和策の適用が重要になる。
SQL インジェクションとは、Web ページのフォームや URL のクエリー変数に特別に細工されたコードを注入することで、攻撃者が正当な SQL クエリーを変更し、予期せぬ動作を誘発するものである。この脆弱性の悪用に成功した攻撃者は、通常アクセスできないはずのデータへのアクセス/認証回避/データ削除などを実行する可能性を持つことになる。
SonicWall GMS/Analytics が広く普及し、集中管理/迅速な展開/リアルタイム・レポート/データ・インサイトなどに使用されていることを考慮すると、攻撃対象は大きく、かつ、重要な組織が標的になると言える。
この脆弱性を解決するためには、GMS 9.3.1-SP2-Hotfix-2 以降/Analytics 2.5.0.3-Hotfix-1 以降へのアップグレードが推奨される。さらに、SonicWall は、パッチ未適用の環境でも SQL インジェクション攻撃を十分にブロックできる可能性がある、Web Application Firewall (WAF) の導入も推奨している。
現時点では、この脆弱性に対する回避策は無いため、すべての管理者に対して、利用可能なセキュリティ・アップデートの適用が推奨されている。
お隣のキュレーション・チームに聞いてみたところ、この脆弱性 CVE-2022-22280 は、7月26日にレポートがアップされているとのことです。9.4 という CVSS 値は、SonicWall の評価によるものであり、まだ NVD は追いついていないと言っていました。今年に入ってからの SonicWall 関連のトピックとしては、1月24日の「SonicWall の RCE 脆弱性 CVE-2021-20038:標的型攻撃が進行中」や、3月28日の「SonicWall ファイアウォールにおける深刻な DoS 脆弱性 CVE-2022-22274 が FIX」、5月13日の「SonicWall の警告:SSLVPN SMA1000 の脆弱性に対してパッチ適用を推奨」などがあります。文中にもあるように、攻撃対象は大きく、重要な組織が標的になることが考えられます。
IoT OT Security News 
You must be logged in to post a comment.