サイバーセキュリティ企業Arctic Wolfによると、SonicWall Secure Mobile Access(SMA)アプライアンスに影響を及ぼすリモートコード実行の脆弱性が、少なくとも2025年1月以降、活発に悪用されている。
このセキュリティ上の欠陥(CVE-2021-20035)は、SMA 200、SMA 210、SMA 400、SMA 410、およびSMA 500vデバイスに影響を及ぼし、SonicWallがサービス拒否(DoS)攻撃で脆弱なアプライアンスをダウンさせるために悪用される可能性があるだけだとして、ほぼ4年前の2021年9月にパッチが適用されていた。
しかし、同社は月曜日に4年前のセキュリティアドバイザリを更新し、このセキュリティバグが攻撃で悪用されることを明記し、影響をリモートコード実行に拡大し、CVSS深刻度スコアを「中」から「高」にアップグレードした。
「この脆弱性は実際に悪用されていると思われます。予防措置として、SonicWall PSIRTは概要を更新し、CVSSスコアを7.2に修正しました。
悪用に成功すると、低権限を持つリモートの脅威行為者が「SMA100の管理インターフェイスにおける特殊要素の不適切な無効化」を悪用し、「nobody」ユーザーとして任意のコマンドを注入し、複雑度の低い攻撃で任意のコードを実行することが可能になる。
CISAはまた、この脆弱性をKnown Exploited Vulnerabilities(既知の悪用される脆弱性)カタログに追加し、現在この脆弱性が実際に悪用されていることを確認するとともに、5月7日まで連邦民間行政機関(FCEB)に対し、現在進行中の攻撃からネットワークを保護するよう命じている。
| 製品 | プラットフォーム | 影響を受けるバージョン | 修正バージョン |
| SMA 100 シリーズ | – SMA 200 – SMA 210 – SMA 400 – SMA 410 – SMA 500v (ESX、KVM、AWS、Azure) |
10.2.1.0-17sv以前 | 10.2.1.1-19sv以降 |
| 10.2.0.7-34sv およびそれ以前 | 10.2.0.8-37sv以降 | ||
| 9.0.0.10-28svおよびそれ以前 | 9.0.0.11-31sv以降 |
1月以降、積極的に悪用
SonicWallが攻撃開始時期を共有することなく、このセキュリティバグが悪用されているとタグ付けした数日後、サイバーセキュリティ企業Arctic Wolfは、脅威行為者が2025年1月の時点で攻撃にCVE-2021-20035エクスプロイトを使用していたと報告した。
このキャンペーンでは、攻撃者はまた、管理インターフェイスがオンラインで公開されているSMA 100アプライアンスをターゲットに、デフォルトパスワードが「password」のローカルスーパー管理者アカウントを使用しています。
「ArcticWolfは、SMA 100シリーズのアプライアンスを標的としたVPNクレデンシャルアクセスキャンペーンが進行中であることを確認しました。
「このキャンペーンで注目すべき点は、これらのアプライアンスでローカルのスーパー管理者アカウント(admin@LocalDomain)が使用されていることで、このアカウントにはパスワードという安全でないデフォルトのパスワードが設定されている。
自社のSonicWallアプライアンスを標的としたCVE-2021-20035攻撃をブロックするために、Arctic Wolfはネットワーク防御者に対して、VPNアクセスを必要最小限のアカウントに制限し、不要なアカウントを停止し、すべてのアカウントで多要素認証を有効にし、SonicWall SMAファイアウォールのすべてのローカルアカウントのパスワードをリセットするよう助言している。
SonicWallは2月にも、SMA1000セキュアアクセスゲートウェイに影響する重大な脆弱性がすでにゼロデイ攻撃で悪用されているとの報告を受けて、1月に顧客にパッチを適用するよう促し、その1カ月後には、ハッカーにVPNセッションを乗っ取られる可能性のあるGen 6およびGen 7ファイアウォールの認証バイパスの欠陥が積極的に悪用されていることを警告した。
Comments