SonicWallは、攻撃者がリモートでコードを実行できる重大な認証済み任意ファイルアップロードの脆弱性からSMA 100シリーズのアプライアンスを保護するため、顧客に対しパッチの適用を呼びかけています。
このセキュリティ脆弱性(CVE-2025-40599として追跡)は、デバイスのWeb管理インターフェースにおける無制限なファイルアップロードの脆弱性に起因しており、管理者権限を持つリモートの脅威アクターが任意のファイルをシステムにアップロードできる可能性があります。
「SonicWallは、SMA 100シリーズ製品(SMA 210、410、および500v)をご利用のお客様に対し、この脆弱性を修正するために指定された修正版へのアップグレードを強く推奨します」と同社は述べています。「この脆弱性は、SonicWall SSL VPN SMA1000シリーズ製品やSonicWallファイアウォール上で動作するSSL-VPNには影響しません。」
攻撃者がCVE-2025-40599を悪用するには管理者権限が必要であり、SonicWallは現時点でこの脆弱性が実際に悪用された証拠は発見していませんが、SMA 100アプライアンスが既に侵害された認証情報を使った攻撃の標的となっているため、顧客に対してデバイスの保護を警告しています。
Google Threat Intelligence Group(GTIG)の研究者が先週警告したように、UNC6148として追跡される未知の脅威アクターが、完全にパッチが適用されたSonicWall SMA 100シリーズデバイスに新しいルートキットマルウェア「OVERSTEP」を展開しています。GTIGは、UNC6148がデータ窃取や恐喝攻撃を行っており、Abyssランサムウェア(VSOCIETYとしても追跡)も展開している可能性があると考えています。
これらの攻撃を調査する中で、調査員は脅威アクターが1月に複数の脆弱性(CVE-2021-20038、CVE-2024-38475、CVE-2021-20035、CVE-2021-20039、CVE-2025-32819)を悪用して標的となったアプライアンスの認証情報を盗んだことを示唆する証拠を発見しました。
SonicWallは、SMA 100の仮想または物理アプライアンスを使用している顧客に対し、GTIGのレポートにある侵害の兆候(IoC)を確認するため、不正アクセスの有無やアプライアンスのログ、接続履歴を確認し、不審な活動がないか調査するよう「強く」推奨しています。もし侵害の証拠が見つかった場合は、管理者は直ちにSonicWallサポートに連絡して支援を受けるよう勧められています。
デバイスを保護するために、ユーザーは外部インターフェースでのリモート管理アクセスを制限し、すべてのパスワードをリセットし、ユーザーおよび管理者の両方でOTP(ワンタイムパスワード)バインディングを再初期化する必要があります。また、多要素認証(MFA)の強制やWebアプリケーションファイアウォール(WAF)の有効化も推奨されています。
今年初めにも、SonicWallはSecure Mobile Access(SMA)アプライアンスを標的とした攻撃で悪用された他のセキュリティ脆弱性について警告を出しています。
5月には、同社は顧客に対し、リモートコード実行(root権限)を連鎖的に実現できる3つのセキュリティ脆弱性(CVE-2025-32819、CVE-2025-32820、CVE-2025-32821)へのパッチ適用を促しました。そのうち1つは実際に攻撃で悪用されたとされています。
1か月前には、SonicWallは別のSMA100の脆弱性(CVE-2021-20035)が少なくとも2025年1月以降、リモートコード実行攻撃で悪用されていると発表しました。
クラウド検知&レスポンス入門
新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎましょう。
この実践的かつ分かりやすいガイドで、クラウド検知とレスポンス(CDR)がセキュリティチームにもたらす優位性について学べます。