SonicWall: SMA100 VPN vulnerabilities now exploited in attacks
2025/04/30 BleepingComputer — SonicWall が公表したのは、同社の Secure Mobile Access (SMA) アプライアンスに影響を与える複数の脆弱性が、現時点で攻撃に積極的に悪用されているという注意喚起である。4月29日 (火) に SonicWall は、脆弱性 CVE-2023-44221/CVE-2024-38475 に対するセキュリティ・アドバイザリを更新し、これら2つの脆弱性について、潜在的に悪用されている可能性があると説明した。
1つ目の脆弱性 CVE-2023-44221 は、SMA100 SSL-VPN 管理インターフェイスの特殊要素が、適切に無効化されていないことに起因するものであり、深刻度の高いコマンド・インジェクションを引き起こすとされる。この脆弱性の悪用に成功した管理者権限を持つ攻撃者は、”nobody” ユーザーとして任意のコマンド挿入を可能にするという。
2つ目の脆弱性 CVE-2024-38475 は、Apache HTTP Server 2.4.59 以前における、mod_rewrite 出力の不適切なエスケープ処理に起因する、深刻度 Critical の欠陥である。この脆弱性の悪用に成功した未認証のリモート攻撃者は、サーバが提供を許可しているファイル・システム内のロケーションに URL をマッピングすることで、コード実行権限を取得するとされる。
これら2つの脆弱性は、SMA 200/SMA 210/SMA 400/SMA 410/SMA 500v デバイスに影響するものであり、ファームウェア・バージョン 10.2.1.14-75sv 以降で修正されている。
SonicWall は更新されたアドバイザリで、「SonicWall とセキュリティ・パートナーによる、さらなる分析の結果として、CVE-2024-38475 を悪用する新たな手法が特定された。この手法により、特定のファイルへの不正アクセスにより、セッション・ハイジャックの可能性が生じる」と警告している。
同社は、「この分析結果により、認証後 OS コマンド・インジェクション CVE-2023-44221 が、実際に悪用されている可能性があることを確認した。SonicWall PSIRT がユーザーに対して強く推奨するのは、SMA デバイスにおける不正ログインの有無の確認である」と付け加えている。
2025年4月の初めにも SonicWall は、約4年前に修正された、深刻度の高い脆弱性 CVE-2021-20035 が、SMA100 VPN アプライアンスを標的とする、リモート・コード実行の攻撃で、積極的に悪用されていると報告している。
その翌日には、サイバー・セキュリティ企業の Arctic Wolf が、遅くとも 2025年1月 から、脆弱性 CVE-2021-20035 は積極的に悪用されてきたと発表している。
この脆弱性は、CISA KEV にも追加され、米国連邦政府機関に対して、進行中の攻撃からネットワークを保護するための指示が出された。
2025年1 月に SonicWall は、ゼロデイ攻撃に悪用されていた、SMA1000 secure access gateways の深刻な欠陥を修正するように管理者に促している。また、その1ヶ月後には、 VPN セッションの乗っ取りをハッカーに許す、Gen 6/Gen 7 ファイアウォールの認証バイパスの脆弱性が、積極的に悪用されていると警告している。
SonicWall SMA100 VPN の脆弱性 CVE-2023-44221/CVE-2024-38475 の悪用が確認されたとのことですが、いずれも 2023年末および 2024年末に修正済みのものです。パッチ適用の遅れが、深刻なリスクにつながる恐れがあります。ご利用のチームは、迅速なアップデートおよび推奨事項の実施を、ご検討ください。よろしければ、SonicWall で検索と併せてご参照ください。
IoT OT Security News 
You must be logged in to post a comment.