SonicWallファイアウォールに影響を及ぼす認証バイパスの脆弱性(CVE-2024-53704)が、概念実証(PoC)悪用コードのリリース直後に攻撃者に狙われている。
このセキュリティ上の欠陥(CVE-2024-53704)は、CISAによって重大度がクリティカルとタグ付けされ、SSLVPN認証メカニズムに見つかり、SonicOSバージョン7.1.x(7.1.1-7058まで)、7.1.2-7019、および8.0.0-8035に影響します。
悪用に成功すると、リモートの攻撃者は認証なしでアクティブなSSL VPNセッションを乗っ取ることができ、標的のネットワークに不正にアクセスできるようになります。
SonicWallは、この脆弱性を公表し、7日にセキュリティアップデートをリリースする前に送信した電子メールで、悪用を防ぐためにファイアウォールのSonicOSファームウェアを直ちにアップグレードするよう顧客に呼びかけた。
同社はまた、デバイスをすぐに保護できない管理者のために、信頼できるソースへのアクセスを制限したり、必要なければインターネットからのアクセスを完全に制限するなどの緩和策を共有した。
木曜日、サイバーセキュリティ会社Arctic Wolfは、「PoCが公開された直後から」この脆弱性を狙った攻撃を検出し始めたと述べ、脆弱性が悪用される可能性が高まるというSonicWallの懸念を裏付けている。
「公開されたPoCのエクスプロイトにより、未認証の脅威行為者はMFAを回避し、個人情報を開示し、実行中のVPNセッションを中断することができる」とArctic Wolfは述べている。
「悪用の容易さと利用可能な脅威インテリジェンスを考慮すると、Arctic Wolfは、この脆弱性に対処するために、修正済みのファームウェアにアップグレードすることを強く推奨する。
パッチから1ヶ月後に公開されたPoCエクスプロイト
Bishop Foxのセキュリティ研究者は、パッチがリリースされてから約1ヶ月後の2月10日にPoCエクスプロイトを公開した。
Bishop Foxは、2月7日のインターネットスキャンによると、およそ4,500台のパッチ未適用のSonicWall SSL VPNサーバーがオンラインで公開されたと付け加えた。
SonicWallは、エクスプロイトコードが公開された後、「SonicOS SSLVPN認証バイパス脆弱性(CVE-2024-53704)の概念実証(PoC)が一般に公開されている」と警告した。
「これは悪用のリスクを著しく高めます。お客様は、パッチが適用されていないすべてのファイアウォール(7.1.x & 8.0.0)を直ちにアップデートする必要があります。ファームウェアアップデートを適用できない場合は、SSLVPNを無効にしてください。”
過去には、AkiraとFogのランサムウェア関連企業もSonicWallのファイアウォールを標的にしていた。Arctic Wolfは10月、少なくとも30件の侵入がSonicWall VPNアカウントを介したリモート・ネットワーク・アクセスから始まっていると警告している。
Comments