SonicWallは、同社のSMA 1000リモートアクセスアプライアンスに存在するゼロデイ欠陥が実際に悪用されているとして顧客に警告しました。これにより、攻撃者が権限を昇格させ、機器を乗っ取る可能性があります。
CVE-2025-40602として追跡されているこのバグは、SonicWallのSecure Mobile Access(SMA)1000シリーズのアプライアンス管理コンソールに存在し、認可チェックの欠落または不十分さに起因します。これにより、認証済みの攻撃者が権限を昇格できます。
SonicWallのアドバイザリによると、この脆弱性は、今年初めに修正された別のSMA 1000の欠陥(CVE-2025-23006)と連鎖させることで、root権限での未認証リモートコード実行を可能にしていたとのことです。野外で武器化されると、特に厄介な組み合わせです。
今週公開されたSonicWallの公式通知では、ユーザーは直ちに最新のホットフィックス版へ更新し、アプライアンス管理コンソールへのアクセスを信頼できるネットワークに制限すべきだとしています。同社のPSIRTチームは、この問題はSMA 1000アプライアンスのみに影響し、他のSonicWallファイアウォール製品やSSL VPN機能には影響しないと述べていますが、攻撃者がすでにこの欠陥の悪用を開始している事実は、リモートアクセス基盤が依然としてどれほど露出しているかを浮き彫りにしています。
露出したデバイスを追跡する研究者らは、オープンインターネット上で可視なSMA 1000ユニットが数百台あると報告しており、パッチが迅速に適用されなければ、潜在的に脆弱な標的の大きなプールが存在することになります。
SonicWallは2025年、サイバー犯罪グループの標的となることが多くありました。9月には、同社はMySonicWallクラウドバックアップサービスの侵害を公表し、攻撃者が顧客向けに保存されていたファイアウォール設定バックアップにアクセスしたと明らかにしました。影響を受けたユーザーは5%未満という当初の推定は、その後、Mandiantによるインシデント対応調査で、サービスを利用していたすべての組織のバックアップファイルが露出していたと結論づけられたことを受けて修正されました。
露出した設定ファイルには、ネットワークルール、アクセス方針、暗号化された認証情報が含まれており、攻撃者が内容を総当たりで解読したり復号したりできれば、企業インフラへの詳細なロードマップを与えかねません。SonicWallは顧客に対し、既存のクラウドバックアップを削除し、MySonicWallの認証情報を変更し、共有シークレットとパスワードをローテーションし、クラウドではなくローカルで新しいバックアップファイルを作成するよう促しました。
SonicWallはその後、このバックアップ侵害を国家支援の脅威アクターによるものだとしましたが、特定の国やグループ名は明らかにしませんでした。同社は「ネットワークおよびクラウドインフラを強化するため、第三者と引き続き協力していく」と約束していますが、今週の実際に悪用されているゼロデイを見る限り、そのプロセスはまだ進行中であるようです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/18/sonicwall_sma_1000_0day/
