SonicWallのエッジアクセスデバイスがゼロデイ攻撃の標的に

出典：Remus Rigo（Alamy Stock Photo経由）

SonicWallは水曜日、同社のSMA1000アクセスプラットフォームに影響するゼロデイ脆弱性が、連鎖攻撃を通じて現在悪用されていることを明らかにした。 

CVE-2025-40602は、SonicWallのSMA1000アプライアンス管理コンソール（AMC）に存在する、中程度の深刻度のローカル権限昇格の脆弱性だ。この欠陥は6.6のCVSSスコアが付与されており、SonicWallのアドバイザリによれば、AMCにおける認可の不備に起因する。

同社によると、このゼロデイ脆弱性は、古い重大な欠陥であるCVE-2025-23006と組み合わせた連鎖攻撃として、実環境で悪用されていると報告されている。この重大な脆弱性はSMA100デバイスにも影響し、1月にゼロデイ攻撃の対象となった。

「CVE-2025-40602（CVSS 6.6）に対する既知の悪用経路は、CVE-2025-23006（CVSS 9.8）が未修正のままであるか、または脅威アクターがすでにローカルのシステムアカウントへのアクセスを保有している場合に限られる」とSonicWallは同社のアドバイザリで述べた。

CVE-2025-23006">CVE-2025-23006の緩和策

CVE-2025-40602に対する攻撃の範囲と発生源は不明だ。SonicWallのアドバイザリには、悪用活動に関する情報は含まれていない。Dark Readingはこの活動についてSonicWallにコメントを求めたが、同社は声明で回答したものの、攻撃について直接の言及はしなかった。

CVE-2025-40602の発見者として、GoogleのThreat Intelligence Groupの研究者であるClément Lecigne氏とZander Work氏がクレジットされている。

SonicWallは顧客に対し、脆弱性に対するホットフィックスの適用を強く推奨している。ホットフィックスはバージョン12.4.3-03245以降、およびバージョン12.5.0-02283以降に含まれている。追加の緩和策としては、VPNまたは特定の管理者IPアドレス経由のSSHアクセスのみによってAMCへのアクセスを制限すること、またはAMCでSSL VPN管理インターフェースを無効化し、パブリックインターネットからのSSHアクセスを無効化することが挙げられる。

「CVE-2025-23006がパッチ適用されていない場合、システムはすでに重大な脆弱性にさらされている。この状況では、CVE-2025-40602を連鎖させても、全体的なリスクや攻撃対象領域が実質的に増加するわけではない」とSonicWallは述べた。

CVE-2025-40602に対する攻撃は、今年SonicWallの顧客にとって最悪の脅威というわけではない。10月には、同社は脅威アクターがクラウドバックアップサービスに侵入し、同サービスを利用するすべての顧客のファイアウォール設定データを入手したことを認めた。夏には、顧客がAkiraランサムウェア集団による攻撃の波を受けた。当初、研究者らは攻撃が悪用中の新たなゼロデイ欠陥に起因すると疑っていたが、SonicWallは後に、ランサムウェアの攻撃者がファイアウォール機器に影響する古い脆弱性CVE-2024-40766を悪用していたことを確認した。