Over 25,000 SonicWall VPN Firewalls exposed to critical flaws
2024/12/17 BleepingComputer — インターネットに露出する 25,000 台以上の SonicWall SSLVPN デバイスが、深刻な脆弱性を抱えているとされ、そのうちの 20,000 台に関しては、ベンダーがサポートを終了した SonicOS/OSX ファームウェア・バージョンを使用されているという。サイバーセキュリティ企業 Bishop Fox が実施した調査/分析によると、今年なって公開された一連の重要な脆弱性が、SonicWall デバイスに影響を及ぼしているとされる。
SonicWall SSL VPN デバイスに影響を及ぼす脆弱性は、企業ネットワークへのイニシャル・アクセスを得るための魅力的なターゲットであり、最近は Fog や Akira などのランサムウェア・グループにより悪用されている。
大規模な攻撃対象領域
Bishop Fox は、Shodan や BinaryEdge などのインターネット・スキャン・ツールと独自のフィンガープリント技術を活用して、公開されている 430,363 台の SonicWall ファイアウォールを特定した。
公開されているということは、ファイアウォールの管理インターフェースまたは SSL VPN インターフェイスが、インターネットからアクセス可能なことを意味する。したがって、脆弱性の悪用/パッチ未適用のファームウェア/ミスコンフィグ/ブルートフォースなどの弱点を突く探査の機会が、攻撃者に対して提供されていく。
BishopFox は、「ファイアウォールの管理インターフェイスは、不必要なリスクをもたらすため、公開されるべきではない。SSL VPN インターフェイスは、インターネット経由で外部クライアントにアクセスできるように設計されているが、ソース IP アドレス制限による保護が必要である」と述べている。
SonicWall デバイスで使用されている、ファームウェア・バージョンを調査した研究者たちにより、数年前に EoL を迎えている Series 4/5 が、6,633 台もあることが判明した。それに加えて、現時点で一部がサポートされている、Series 6 の EoL バージョンの使用も さらに 14,077 台を数えるという。
Source: BishopFox
この結果の分析により、サポート終了ファームウェアを実行している 20,710 台のデバイスが、数多くの公開エクスプロイトに対して脆弱であることが判明したが、問題の正確な規模は、この数字では表せない。
BishopFox の発見には、不明なファームウェア・バージョンを実行している 13,827 台のデバイス、および、Series 6 デバイスの EoL ファームウェアを実行している 197,099 台 (正確なバージョンを特定できない) のデバイス、不明なファームウェア・バージョンの Series 5 実行している 29,254 台のデバイスがある。
特定のファームウェア・バージョンと既知の脆弱性に対する保護を識別するために、スキャン結果に対してフィンガープリント技術を適用したところ、25,485 台に Critical な問題があり、94,018 台が High の問題があることが判断した。
Source: BishopFox
脆弱性が確認されたデバイスの大半は Serirs 7 ファームウェアであるが、最新バージョンに更新されていないため、セキュリティのギャップも解消されていない。
2024年1月の時点で判明した、DoS 攻撃と RCE 攻撃に対して脆弱な 178,000 台のエンドポイントと比べて、今回の調査結果は 119,503 台であり、改善の傾向にあると言える。しかし、パッチの適用が遅いことも示されている。
SonicWall SSL VPN の脆弱性に関しては、このブログでも何度が取り上げていますが、今回の Bishop Fox の記事は、インターネットに露出しているデバイスの数を明示するという、これまでとは異なる視点を持っています。ご利用のチームは、ぜひ、ご確認ください。よろしければ、SonicWall SSL VPN で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.