2025/05/02 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SonicWall SMA100/Apache HTTP Server の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。これらの脆弱性の概要は、以下の通りである:
- CVE-2023-44221:SonicWall SMA100 アプライアンスに存在する、OS コマンド・インジェクションの脆弱性
- CVE-2024-38475:Apache HTTP Server に存在する、不適切な出力エスケープの脆弱性
今週に SonicWall は、SMA100 Secure Mobile Access アプライアンスに存在する、脆弱性 CVE-2023-44221/CVE-2024-38475 に関する、攻撃者による悪用を明らかにした。
CVE-2023-44221 (CVSS:7.2):SMA100 SSL-VPN 管理インターフェースにおける、特殊要素の不適切な無効化に関する脆弱性である。管理者権限を持つリモート認証済みの攻撃者は、この脆弱性を悪用することで、”nobody” ユーザーとして任意のコマンドを挿入し、OS コマンド・インジェクションを引き起こす可能性を手にする。
CVE-2024-38475 (CVSS:9.8):Apache HTTP Server のバージョン 2.4.59 以下に存在する、mod_rewrite の出力エスケープ処理の脆弱性です。この脆弱性を悪用する攻撃者は、サーバが処理を許可するファイル・システム上で、URL のマッピングを可能にする。
2025年4月29日に更新されたアドバイザリには、「SonicWall とセキュリティ・パートナーが、さらなる分析を行った結果として、脆弱性 CVE-2024-38475 を介した、新たな悪用の手法が特定された。この手法により、特定のファイルへの不正アクセスにより、セッション・ハイジャックの可能性が生じている。ただし、修正ファームウェアのバージョン 10.2.1.14-75sv にアップデートされた SMA100 デバイスは、脆弱性 CVE-2024-38475 および、関連するセッション・ハイジャック攻撃の影響を受けない」と記されている。
さらに、同アドバイザリは、「SonicWall とセキュリティ・パートナーは、 認証後 OS コマンド・インジェクション脆弱性 CVE-2023-44221 が、実際に悪用されている可能性があると判断している」と述べている。
これらの脆弱性が影響を及ぼす範囲は、MA 100 Series デバイスの SMA 200/210/400/410/500v である。同社は以下のリリースで、これらの脆弱性に対処している。
- CVE-2023-44221
10.2.1.10-62sv 以降のバージョン (2023年12月4日に修正済み) - CVE-2024-38475
10.2.1.14-75sv 以降のバージョン (2024年12月4日に修正済み)
なお、これらの脆弱性を悪用する攻撃の技術的な詳細や、攻撃の主体となる脅威アクターなどについて、同社は見解を示していない。
拘束力のある運用指令 (BOD) 22-01:FCEB 機関は、カタログに記載されている脆弱性を悪用する攻撃から、ネットワークを保護するため、期限までに対処する必要がある。CISA は連邦政府機関に対し、2025年5月22日までに、これらの脆弱性を修正するよう命じている。
専門家たちが推奨するのは、このカタログを民間組織も確認し、自社のインフラにおける脆弱性に対処することである。
SonicWall SMA100 と Apache HTTP Server の脆弱性が、CISA KEV に登録されました。ご利用のチームは、アップデートをお急ぎください。なお、これらの脆弱性については、以下の記事でも取り上げています。よろしければ、CISA KEV ページと併せて、ご参照ください。
2025/04/30:SonicWall SMA100 の脆弱性:積極的な悪用が警告される
2024/07/01:Apache HTTP Server の緊急アップデート
IoT OT Security News 
You must be logged in to post a comment.