SonicWall

SonicWallは、SonicOSのCVE-2024-40766として追跡されている、最近修正されたアクセス制御の欠陥が攻撃で悪用される「可能性がある」ことを警告し、管理者にできるだけ早くパッチを適用するよう促している。

「この脆弱性は、潜在的に悪用されています。影響を受ける製品については、できるだけ早くパッチを適用してください。最新のパッチビルドはmysonicwall.comからダウンロード可能です」と、更新されたソニックウォールのアドバイザリは警告している。

CVE-2024-40766は、SonicWall Firewall Gen 5およびGen 6デバイス、ならびにGen 7デバイスに影響を与える重大な(CVSS v3スコア:9.3)アクセス制御の欠陥です。

ソフトウェアベンダーは、この欠陥について、不正なリソースへのアクセスとファイアウォールをクラッシュさせ、ネットワーク保護を排除する可能性があること以外、多くの情報を開示していない。

SonicWallが2024年8月22日にこの欠陥を最初に公表したとき、欠陥はSonicWall SonicOS管理アクセスにのみあると考えられていた。本日のアップデートにより、同社はCVE-2024-40766がファイアウォールのSSLVPN機能にも影響を及ぼすことを警告している。

早急にパッチを適用すること

影響を受ける製品とバージョンのリスト、およびCVE-2024-40766に対応するリリースの概要は以下のとおり:

  • SonicOSバージョン5.9.2.14-12oおよびそれ以降を実行しているSonicWall Gen 5 – SonicOSバージョン5.9.2.14-13oで修正済み
  • SonicOSバージョン6.5.4.14-109nおよびそれ以降を実行しているSonicWall Gen 6 – バージョン6.5.2.8-2n(SM9800、NSsp 12400、NSsp 12800用)およびバージョン6.5.4.15-116n(その他のGen 6ファイアウォール用)で修正されています。
  • SonicOS バージョン 7.0.1-5035 およびそれ以前のバージョンを実行している SonicWall Gen 7 – 7.0.1-5035 以降では再現しません。

Table

SonicWallが推奨する最新の緩和策は以下のとおりです:

  1. ファイアウォールの管理を信頼できるソースに制限し、可能であればWAN管理ポータルへのインターネットアクセスを無効にする。
  2. SSLVPNアクセスを信頼できるソースのみに制限し、必要ない場合は完全に無効にする。
  3. 第 5 世代および第 6 世代のデバイスでは、ローカル・アカウントを持つ SSLVPN ユーザーは直ちにパスワードを更新し、管理者はローカル・ユーザーの「User must change password」オプションを有効にする。
  4. TOTP または電子メールベースのワンタイムパスワード(OTP)を使用して、すべての SSLVPN ユーザーに対して多要素認証(MFA)を有効にします。この対策の設定方法の詳細については、こちらをご覧ください

SonicWallは、この欠陥がどのように積極的に悪用されているかを共有していないが、過去にも同様の欠陥が企業ネットワークへの初期アクセスに使用されたことがある。

脅威行為者は、リモートVPNアクセスを提供するためにインターネットに露出しているSonicWallを一般的に標的にしている。

2023年3月には、中国のハッカー(UNC4540)と疑われる人物が、パッチの適用されていないSonicWall Secure Mobile Access(SMA)デバイスを標的として、ファームウェアのアップグレードを通じて持続するカスタムマルウェアをインストールしました。

この欠陥が攻撃でどのように積極的に悪用されているかについて、SonicWallに問い合わせたが、すぐに回答は得られなかった。