コンテンツにスキップするには Enter キーを押してください

最新の攻撃で完全にパッチ適用済みのSonicWall SMA 100デバイスが標的に

投稿日 2025年7月17日

Google Threat Intelligence Groupは水曜日に公開したレポートで、金銭目的の脅威グループが、完全にパッチが適用されたサポート終了済みのSonicWall Secure Mobile Access 100シリーズ機器を使用する組織を攻撃していると発表しました。

GoogleがUNC6148と特定したこのグループは、以前に盗まれた管理者認証情報を使ってSonicWall SMA 100シリーズ機器(リモートアクセスVPNデバイス)にアクセスしています。ベンダーは今年初めに販売とサポートを終了しています。研究者によると、UNC6148は恐喝目的でデータを盗み、場合によってはランサムウェアを展開している可能性が高いとされています。

この攻撃は、特に旧型のSonicWall SMA 100シリーズ機器に影響を与える一連の欠陥を通じて、SonicWallの顧客が直面してきた継続的なリスクを強調しています。

このベンダーは、2021年後半以降、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用された脆弱性カタログに14回登場しています。そのうち半分の脆弱性がSonicWall SMA 100機器に影響を与えており、今年CISAのカタログに追加された4件中3件も含まれています。

「進化する脅威の状況に対応し、透明性と顧客保護へのコミットメントに沿って、SonicWallはSMA 100のサポート終了日を前倒しする予定です」と、SonicWallのグローバルコミュニケーション担当シニアディレクターであるBret Fitzgerald氏はCyberScoopに語りました。

「SonicWallは、Cloud Secure EdgeサービスやSMA 1000シリーズなど、より最新で安全なソリューションへの移行を積極的に顧客に案内しています」と同氏は付け加えました。

「すべての顧客がまだ移行を完了していないことは理解しており、既存のSMA 100導入環境には残りのライフサイクル期間中、ファームウェアアップデートでサポートを継続します。リスク軽減とユーザー保護を優先するため、これらのアップデートは今後より頻繁になる可能性があります」とFitzgerald氏は述べています。

Googleによると、UNC6148がSonicWall機器にアクセスする際に使用した初期感染経路については、脅威グループのマルウェアが選択的にログエントリを削除するため、証拠が不足しているとのことです。しかし、研究者によれば、UNC6148が悪用した可能性のある複数の脆弱性が存在し、CVE-2021-20038CVE-2024-38475CVE-2021-20035CVE-2021-20039、またはCVE-2025-32819が含まれます。

「UNC6148は、対象機器が最新のファームウェアバージョン(10.2.1.15-81sv)に更新される前に、上記のいずれかのCVEを使って管理者認証情報を取得し、その後VPNセッションを確立し、機器が完全に更新された後に別の未知の脆弱性を悪用した可能性があります」と、Google Threat Intelligence GroupのシニアセキュリティエンジニアであるZander Work氏はメールで述べています。

「しかし、これまで調査したインシデントについては、これを確認するのに十分なフォレンジックデータがありませんでした」とWork氏は付け加えました。

侵害後の活動に関する洞察も限られています。「UNC6148は、恐喝目的のデータ窃取や、最終的な目的としてランサムウェアの展開を行っている可能性があると考えていますが、現時点では調査上の情報が限られているため、これを確認できていません」とWork氏は述べています。

UNC6148が標的とした被害者の1つは6月にWorld Leaksデータリークサイトに登場しており、Googleによると、この脅威グループの活動は2023年後半から2024年前半にかけてのSonicWallの悪用と重なっており、Abyssブランドのランサムウェア展開を含む攻撃も含まれています。

悪用されたSonicWallの欠陥はランサムウェアの主要な経路となっており、連邦機関によれば、CISAのカタログにあるこのベンダーのCVEのうち14件中9件がランサムウェアキャンペーンで使われていることが知られています。

Mandiantは6月の攻撃調査中にUNC6148の技術的な活動についてさらに知見を得ました。その攻撃では、UNC6148はSMA 100シリーズ機器でローカル管理者認証情報を使ってSSL VPNセッションを確立し、その後不明な方法でリバースシェルを展開しました。

リバースシェルにより、脅威グループは偵察、ファイル操作、設定のエクスポート・インポートをSMA 100機器上で行い、その後Googleがレポートで技術的詳細を共有したOVERSTEPバックドアを展開しました。

この調査により、Googleは「[UNC6148]が、組織がセキュリティアップデートを適用した後でも、以前に侵害されたSonicWall機器をさらなる侵入活動にどのように利用する可能性があるかについて、より多くを知ることができました」とWork氏は述べています。

GoogleとSonicWallは、UNC6148によって悪用されたSonicWall SMA 100デバイスの数や、この継続中のキャンペーンで影響を受けた組織数については明らかにしませんでした。

翻訳元: https://cyberscoop.com/sonicwall-sma100-attacks/

Published in cyberscoop-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です