25,000台以上のSonicWall VPNファイアウォールに重大な欠陥が見つかる

25,000台以上の一般にアクセス可能なSonicWall SSLVPNデバイスに重大な欠陥の脆弱性があり、20,000台はベンダーがサポートしなくなったSonicOS/OSXファームウェアバージョンを使用している。

この結果は、サイバーセキュリティ企業のBishop Foxが実施した分析によるもので、SonicWallデバイスに影響を与える重要な脆弱性が今年相次いで公開されたことが動機となっている。

SonicWall SSL VPNデバイスに影響する脆弱性は、FogランサムウェアやAkiraを含むランサムウェアグループによって最近悪用されました。

膨大な攻撃対象領域

ShodanやBinaryEdgeのようなインターネットスキャンツールと独自のフィンガープリンティング技術を活用することで、Bishop Foxは430,363台の一般公開されたSonicWallファイアウォールを特定しました。

公開されているということは、ファイアウォールの管理インターフェイスまたはSSL VPNインターフェイスがインターネットからアクセス可能であることを意味し、攻撃者が脆弱性、古い/パッチが適用されていないファームウェア、設定ミス、弱いパスワードのブルートフォースなどを調査する機会を提供します。

BishopFox氏は、「ファイアウォールの管理インターフェイスは、不必要なリスクをもたらすため、決して公開すべきではありません」と説明する。

「SSL VPNインターフェースは、インターネット経由で外部クライアントにアクセスできるように設計されているが、理想的にはソースIPアドレスの制限によって保護されるべきである。

これらのデバイスで使用されているファームウェアのバージョンを調べたところ、6,633台が4シリーズと5シリーズを使用していることがわかった。また、14,077台は、現在部分的にサポートされている6シリーズのサポート終了バージョンを使用している。

この結果、20,710 台の使用済みファームウェアを実行しているデバイスが、多くの公開エクスプロイトに脆弱であることになるが、この数字は問題の正確な規模を代表するものではない。

また、BishopFox は、13,827 個の不明なバージョンのファームウェアが動作していること、197,099 個のサポー トされていない 6 シリーズ・ファームウェアが動作しているが、正確なバージョンを特定することができな いこと、さらに 29,254 個の不明なバージョンの 5 シリーズ・ファームウェアが動作していることを発見し た。

特定のファームウェアバージョンと既知の脆弱性に対する保護を特定するために、フィンガープリンティング技術を用いてスキャン結果を調べたところ、研究者は、25,485台がクリティカルな深刻度の問題に、94,018台が高い深刻度の欠陥に脆弱であると判断した。

脆弱性が確認されたデバイスのほとんどは、7シリーズのファームウェアを使用しているが、セキュリティギャップを埋める最新バージョンにアップデートされていない。

脆弱性のあるエンドポイントの合計 119,503 台は、2024 年 1 月に DoS 攻撃と RCE 攻撃の脆弱性が発見された178,000 台よりは改善されているものの、パッチの適用が遅れていることを示している。