SonicWall

SonicWallは、SonicWall SMA1000アプライアンス管理コンソール(AMC)およびセントラル管理コンソール(CMC)における認証前のデシリアライズの脆弱性について警告しており、ゼロデイとして悪用された攻撃が報告されている。

この脆弱性は、CVE-2025-23006として追跡され、CVSS v3スコア:9.8でクリティカル(Critical)と評価されており、リモートの認証されていない攻撃者が特定の条件下で任意のOSコマンドを実行できる可能性があります。

この脆弱性は、12.4.3-02804(platform-hotfix)までのSMA100アプライアンスのすべてのファームウェアバージョンに影響します。

SonicWallは、この脆弱性がゼロデイとして悪用された攻撃の報告を受けていることを強調している。

「SonicWallのPSIRTは、脅威アクターによる当該脆弱性の積極的な悪用の可能性について通知を受けている」と警告している

「SMA1000製品のユーザーに対して、この脆弱性に対処するため、ホットフィックスリリースバージョンにアップグレードすることを強く推奨します。

この脆弱性はマイクロソフトの脅威インテリジェンスセンターが発見したものであり、この脆弱性の悪用がいつ始まったかなどの詳細については、後日マイクロソフトから発表される可能性がある。

システム管理者は、このリスクを軽減するために、バージョン12.4.3-02854(platform-hotfix)以降にアップグレードすることを推奨する。

SonicWallは、CVE-2025-23006はSMA 100シリーズ製品には影響しないため、対策は不要であることを明らかにした。

また、ドイツのコンピュータ緊急対応チーム(CERT-Bund)もXに関する警告を発表し、管理者にアップデートを直ちにインストールするよう促している。

MacnicaのリサーチャーであるYutaka Sejiyama氏は、Sodanの検索によると、現在2,380台のSMS1000デバイスがオンラインで公開されていることを報告した。

SonicWallデバイスがよく狙われる

SMA1000は、企業ネットワークへのVPNアクセスを提供するために、大規模な組織で一般的に使用されているセキュア・リモート・アクセス・アプライアンスです。

企業、政府機関、重要なサービス・プロバイダーにおいて重要な役割を担っていることから、パッチの適用されていない欠陥のリスクは特に高い。

今月初め、SonicWallは、CVE-2024-53704として追跡されている、ファイアウォール・アプライアンスに影響を及ぼす危険な認証バイパスの欠陥について警告した

昨日、Bishop Foxの研究者は、CVE-2024-53704の悪用を紹介するビデオを公開し、2025年2月10日に完全な詳細を公開することを約束した。

「この脆弱性を発見し悪用するためには、リバース・エンジニアリングに多大な労力を要したが、悪用自体は些細なものである

一方、昨日の時点で、Bishop Foxは、CVE-2024-53704の影響を受けやすい5000台以上のSonicWallデバイスがインターネット上に露出していると報告している。