SonicWall NGFW の DoS/RCE 脆弱性:178,000 台以上の脆弱なアプライアンスと PoC エクスプロイト

Over 178K SonicWall firewalls vulnerable to DoS, potential RCE attacks

2024/01/15 BleepingComputer — SonicWall Next-Generation Firewalls (NGFW) の、管理インターフェイスがオンラインで公開されている 178,000 台以上のファイアーウォールにおいて、 DoS (Denial-of-Service) 攻撃および RCE (Remote Code Execution) 攻撃が起こり得ることが、セキュリティ研究者たちにより発見された。これらのアプライアンスには、2つの DoS 脆弱性 CVE-2022-22274/CVE-2023-0656 が存在している。そして、1つ目の脆弱性は、リモート・コード実行につながる可能性もあるという。


Bishop Fox の Senior Security Engineer である Jon Williams によると、「管理インターフェイスがインターネットに露出している SonicWall のファイヤーウォールを、BinaryEdge のソースデータを基にスキャンしたところ、76% (178,637/233,984 台) に、2つの脆弱性の一方/両方が存在することが判明した」という。

この2つの脆弱性は、同じ脆弱なコードパターンの再利用により引き起こされるために、本質的には同質と言える。しかし、この大規模な攻撃サーフェスを発見した Bishop Fox によると、異なる HTTP URI パスを介して悪用が可能だという。

Williams は、「脆弱性のあるコードを特定したところ、1年という期間をまたいで、脆弱性 CVE-2022-22274 と CVE-2023-0656 が、同じ問題に起因していることが判明した。私たちは、CVE-2022-22274 が、別の場所で同じ脆弱なコード・パターンにより誘発され、さらに3つの URI パスに対してエクスプロイトが機能することを発見した」と述べている。

標的としたアプライアンス上で、攻撃者がコードを実行できない場合であっても、脆弱性を悪用してメンテナンス・モードに強制的に移行させ、標準的な機能を回復させるために、管理者の介入を要求することが可能だという。

このように、リモート・コード実行が可能/不可能を判断されない場合でも、これらの脆弱性を悪用する脅威アクターたちは、企業ネットワークに提供されるエッジ・ファイヤーウォールと VPN アクセスを無効化できる。

脅威監視プラットフォーム Shadowserver のデータによると、現時点において、500,000 台以上の SonicWall のファイヤーウォールがネット上に公開されており、米国では 328,000 台以上が公開されているという。

Internet-exposed SonicWall firewalls
インターネットに公開された SonicWall ファイヤーウォール (ShadowServer)

SonicWall の Product Security Incident Response Team (PSIRT) は、これらの脆弱性が悪用された事実はないとしているが、脆弱性 CVE-2022-22274 については、少なくとも1つの PoC (Proof-of-Concept) エクスプロイトがオンラインで利用可能だと認めている。

Williams は、「SSD Labs は、バグを引き起こす可能性のある2つの URI パスを特定して、PoC とバグの技術的記述を公開した」と述べている。

SonicWall NGFW アプライアンスの管理者に推奨されるのは、NGFW の管理インターフェイスがオンラインで公開されていないことを確認し、可能な限り早急に最新のファームウェア・バージョンにアップグレードすることだ。

過去にも、SonicWall のアプライアンスは、サイバー・スパイ攻撃の標的にされ、また、HelloKitty/FiveHands などのランサムウェア・グループに狙われてきた。

たとえば、2023年3月には、中国のハッカーと思われる人物が、SonicWall を悪用してサイバースパイ・キャンペーンを長期的に持続させていた。SonicWall PSIRT と Mandiant の報告は、パッチ未適用の SonicWall Secure Mobile Access (SMA) アプライアンスに対して、カスタムマルウェアをインストールしていたというものだ。

また、2023年7月にも SonicWall は、GMSFirewall 管理およびアナリティクス・ネットワーク・レポート製品に存在する、複数の深刻な認証バイパス脆弱性に対して、緊急パッチを当てるよう顧客に警告している。

SonicWall の顧客には、政府機関や世界有数の大企業を含む、215以上の国や地域の、500,000 以上の企業が含まれている。

SonicWall NGFW の脆弱性 CVE-2022-22274/CVE-2023-0656 は、2022年3月と 2023年3月に公表されているものですが、そのうちの1つには PoC エクスプロイトが存在するとのことです。古い脆弱性の悪用は多々あることなので、ご注意点ください。よろしければ、SonicWall で検索も、ご利用ください。