SonicWallは本日、SonicWall SMA1000 Appliance Management Console(AMC)に存在し、ゼロデイ攻撃で連鎖的に悪用されて権限昇格に使われた脆弱性について、顧客にパッチ適用を警告した。
SonicWallによると、この中程度の深刻度のローカル権限昇格のセキュリティ欠陥(CVE-2025-40602)はGoogle Threat Intelligence GroupのClément Lecigne氏とZander Work氏によって報告されており、SonicWallファイアウォール上で動作するSSL-VPNには影響しない。
「SonicWall PSIRTは、SMA1000製品のユーザーに対し、この脆弱性に対処するため最新のホットフィックスリリース版へアップグレードすることを強く推奨します」と同社は水曜日のアドバイザリで述べた。
リモートの未認証攻撃者は、特定の条件下で任意のOSコマンドを実行するため、重大度がクリティカルなSMA1000の事前認証デシリアライズ欠陥(CVE-2025-23006)と組み合わせ、ゼロデイ攻撃でこの脆弱性を連鎖的に悪用した。
「この脆弱性は、CVE-2025-23006(CVSSスコア9.8)と組み合わせて悪用され、未認証のリモートコード実行をroot権限で達成したと報告されています。CVE-2025-23006は、ビルドバージョン12.4.3-02854(platform-hotfix)およびそれ以降のバージョン(2025年1月22日リリース)で修正されました。」
インターネット監視団体Shadowserverは現在、オンライン上に露出している950台超のSMA1000アプライアンスを追跡しているが、この攻撃チェーンに対してすでにパッチが適用されているものもある可能性がある。
SMA1000は、大規模組織が企業ネットワークへのVPNアクセスを提供するために使用するセキュアなリモートアクセスアプライアンスである。企業、政府、重要インフラ組織にまたがって重要な役割を担うため、未修正の欠陥は悪用されるリスクが特に高い。
先月、SonicWallは、顧客のファイアウォール設定バックアップファイルが露出した9月のセキュリティ侵害について、国家支援のハッカーと関連付けた。これは、研究者が盗まれた認証情報を用いて侵害された100件超のSonicWall SSLVPNアカウントについて警告してから、およそ1か月後のことだった。
また9月には、SMA 100シリーズ機器に対する攻撃で展開されたOVERSTEPルートキットマルウェアをIT管理者が除去できるよう支援するため、ファームウェア更新をリリースした。
その1か月前、SonicWallは、Akiraランサムウェア集団が潜在的なゼロデイエクスプロイトを用いてGen 7ファイアウォールをハッキングしているという主張を退け、事案を2024年11月にパッチ適用された重大な脆弱性(CVE-2024-40766)に結び付けた。
その後、サイバーセキュリティ企業Rapid7とオーストラリア・サイバーセキュリティセンター(ACSC)はSonicWallの調査結果を確認し、Akira集団が未パッチのSonicWall機器を標的にするためCVE-2024-40766を悪用していると述べた。
