はじめに
SonicWallは本日、SMA1000 Appliance Management Console (AMC) における新たなゼロデイ脆弱性が攻撃に悪用されているとして、顧客に対してパッチ適用を強く推奨する警告を発しました。この脆弱性は、特権昇格の形で悪用されているとのことです。
脆弱性の詳細
今回報告されたのは、中程度の深刻度を持つローカル特権昇格のセキュリティ脆弱性(CVE-2025-40602)です。この脆弱性は、Google脅威インテリジェンスグループのClément Lecigne氏とZander Work氏によってSonicWallに報告されました。注目すべきは、この脆弱性がSonicWallファイアウォールで稼働するSSL-VPNには影響しない点です。
しかし、さらに深刻な事態として、この脆弱性は、すでに修正済みの極めて深刻なSMA1000の認証前デシリアライゼーションの脆弱性(CVE-2025-23006、CVSSスコア9.8)と組み合わせて悪用されていることが判明しています。この二つの脆弱性が連鎖することで、認証なしでリモートからOSコマンドがルート権限で実行される可能性があり、極めて高いリスクをもたらします。CVE-2025-23006は、2025年1月22日にリリースされたビルドバージョン12.4.3-02854以降で修正されています。
攻撃の状況と対策
インターネット監視機関Shadowserverの調査によると、現在950台以上のSMA1000アプライアンスがインターネットに晒されている状態です。SMA1000は、大企業が企業ネットワークへのVPNアクセスを提供する際に使用される、その組織にとって重要な役割を果たすアプライアンスです。そのため、未パッチの脆弱性は、企業、政府機関、重要インフラ組織にとって特に高いリスクをもたらします。
SonicWall PSIRTは、SMA1000製品のユーザーに対し、この脆弱性に対処するため、最新のホットフィックスリリースバージョンへのアップグレードを強く推奨しています。
過去の関連事象
SonicWall製品を狙った攻撃は、これが初めてではありません。過去にも複数のセキュリティ事象が発生しています:
- 昨年9月には、国家支援型のハッカーによるセキュリティ侵害により、顧客のファイアウォール設定バックアップファイルが流出したことが発覚しました。
- その約1ヶ月後には、盗まれた認証情報を使用して100以上のSonicWall SSLVPNアカウントが侵害されたと警告されています。
- 昨年9月には、SMA 100シリーズデバイスへの攻撃で展開されたOVERSTEPルートキットマルウェアを削除するためのファームウェアアップデートをリリースしました。
- 昨年8月には、Akiraランサムウェア集団がGen 7ファイアウォールを狙ったとされる攻撃が報道されましたが、これは2024年11月にパッチが適用された重要脆弱性(CVE-2024-40766)が悪用されたものとSonicWallは関連付けています。サイバーセキュリティ企業Rapid7とオーストラリアサイバーセキュリティセンター(ACSC)もこのSonicWallの調査結果を支持しています。
これらの事例からも、SonicWall製品は継続的に攻撃者の標的となっており、迅速なセキュリティアップデートの適用が不可欠であることが示されています。