SonicWall firewall bug leveraged in attacks after PoC exploit release
2025/02/14 BleepingComputer — SonicWall ファイアウォールに影響を与える認証バイパスの脆弱性だが、PoC エクスプロイト・コードのリリースの直後から、攻撃者たちに狙われ始めている。SonicWall の SSLVPN 認証メカニズムで発見され、CISA により深刻度 Critical と分類された脆弱性 CVE-2024-53704 は、同社の Gen 6/7 ファイアウォールおよび、SOHO シリーズ・デバイスの複数のモデルで使用される、SonicOS バージョン 7.1.1-7058 以下/7.1.2-7019/8.0.0-8035 に影響を及ぼすものである。
この脆弱性の悪用に成功したリモートの攻撃者は、認証を必要とすることなく、アクティブな SSL VPN セッションをハイジャックし、ターゲットのネットワークへの不正アクセスを達成するという。
2025年1月7日の時点で脆弱性を公表した SonicWall は、悪用を防ぐためにファイアウォールの SonicOS ファームウェアを直ちに更新するよう、セキュリティ・アップデートをリリースする前に送信した電子メールで、ユーザーに促していた。
さらに同社は、すぐにデバイスを保護できない管理者向けの緩和策として、信頼できるソースだけにアクセスを制限し、インターネットからの不要なアクセスを完全に制限するなどのアドバイスも共有した。
そして 2月13日 (木) の時点で、サイバーセキュリティ企業 Arctic Wolf が公表したのは、CVE-2024-53704 に対する PoC が公開された直後から、この脆弱性を狙った攻撃を検出し始めたことである。この脆弱性の悪用を予測していた、SonicWall の懸念が裏付けられたことになる。
Arctic Wolf は、「公開された PoC エクスプロイトにより、脅威アクターたちは認証を必要とすることなく MFA をバイパスし、個人情報に不正にアクセスし、実行中の VPN セッションを中断できる。その悪用の容易さと、提供されている脅威インテリジェンスを考慮すると、この脆弱性に対処するために修正された、最新ファームウェアへのアップグレードが強く推奨される」と述べている。
この PoC エクスプロイトが公開されたのは、パッチ適用から1か月後のことである。
Bishop Fox のセキュリティ研究者たちが、パッチ適用から約1か月後の 2月10日に、PoC エクスプロイトを公開した。2月7日のインターネット・スキャンによると、SonicWall のパッチ未適用の SSL VPN サーバ約 4,500 台が、オンラインで公開されていると、Bishop Fox は付け加えている。
その一方で SonicWall も、「SonicOS SSLVPN の認証バイパス脆弱性 CVE-2024-53704 の PoC が公開された。それにより、エクスプロイトのリスクが大幅に高まる。ユーザーにとって必要なことは、パッチ未適用のファイアウォール 7.1.x/8.0.0 を、速やかに更新することだ。ファームウェアの更新が不可能な場合には、SSLVPN を無効化してほしい」と警告を発していた。
過去において、SonicWall ファイアウォールは、Akira/Fog ランサムウェアのアフィリエイトに標的化されてきた。 2024年10月の時点で Arctic Wolf は、少なくとも 30件の侵害が確認されたが、SonicWall VPN アカウントを介したリモート・ネットワーク・アクセスから、一連の攻撃は開始されたと警告を発していた。
SonicWall ファイヤウォールの脆弱性 CVE-2024-53704 に対する攻撃が確認されました。本文中にもあるように、SonicWall ファイアウォールは、ランサムウェア攻撃の標的になってきました。しかし 2月7日の時点で、約 4,500 台の SonicWall のパッチ未適用の SSL VPN サーバが、オンラインで公開されているとのことです。ご利用のチームは、いま一度、ご確認ください。よろしければ、以下の関連記事も、SonicWall で検索と併せて、ご参照ください。
2025/01/07:SonicOS の複数の脆弱性が FIX:Gen6/Gen7 に影響
2025/01/30:SonicOS の CVE-2024-53704 が FIX:PoC もリリース
IoT OT Security News 
You must be logged in to post a comment.