コンテンツにスキップするには Enter キーを押してください

SophosおよびSonicWall、ファイアウォールおよびSMA 100デバイスに影響する重大なRCE脆弱性にパッチを適用

投稿日 2025年7月25日

2025年7月24日Ravie Lakshmananネットワークセキュリティ / 脆弱性

Image

SophosおよびSonicWallは、Sophos FirewallおよびSecure Mobile Access(SMA)100シリーズアプライアンスに存在する重大なセキュリティ脆弱性についてユーザーに警告しました。これらの脆弱性はリモートコード実行(RCE)に悪用される可能性があります。

Sophos Firewallに影響を与える2つの脆弱性は以下の通りです。

  • CVE-2025-6704(CVSSスコア:9.8)- Secure PDF eXchange(SPX)機能における任意ファイル書き込みの脆弱性で、特定のSPX構成が有効かつファイアウォールが高可用性(HA)モードで動作している場合、認証前のリモートコード実行が可能となります。
  • CVE-2025-7624(CVSSスコア:9.8)- レガシー(透過型)SMTPプロキシにおけるSQLインジェクションの脆弱性で、メールの隔離ポリシーが有効かつSFOSがバージョン21.0 GAより古いバージョンからアップグレードされている場合、リモートコード実行が可能となります。

Sophosによると、CVE-2025-6704は全デバイスの約0.05%に影響し、CVE-2025-7624は最大0.73%のデバイスに影響します。両脆弱性は、WebAdminコンポーネントにおける高深刻度のコマンドインジェクション脆弱性(CVE-2025-7382、CVSSスコア:8.8)とともに修正されています。この脆弱性は、管理者ユーザーのOTP認証が有効な場合、HA補助デバイスで認証前のコード実行を引き起こす可能性があります。

また、同社は他の2つの脆弱性にもパッチを適用しています。

  • CVE-2024-13974(CVSSスコア:8.1)- Up2Dateコンポーネントにおけるビジネスロジックの脆弱性で、攻撃者がファイアウォールのDNS環境を制御することでリモートコード実行が可能となります。
  • CVE-2024-13973(CVSSスコア:6.8)- WebAdminにおける認証後のSQLインジェクション脆弱性で、管理者が任意のコード実行を達成する可能性があります。

英国国家サイバーセキュリティセンター(NCSC)は、CVE-2024-13974およびCVE-2024-13973の発見と報告に貢献しています。これらの問題は以下のバージョンに影響します。

  • CVE-2024-13974 – Sophos Firewall v21.0 GA(21.0.0)およびそれ以前
  • CVE-2024-13973 – Sophos Firewall v21.0 GA(21.0.0)およびそれ以前
  • CVE-2025-6704 – Sophos Firewall v21.5 GA(21.5.0)およびそれ以前
  • CVE-2025-7624 – Sophos Firewall v21.5 GA(21.5.0)およびそれ以前
  • CVE-2025-7382 – Sophos Firewall v21.5 GA(21.5.0)およびそれ以前

この公開は、SonicWallがSMA 100シリーズのWeb管理インターフェースに存在する重大なバグ(CVE-2025-40599、CVSSスコア:9.1)について詳細を発表したことを受けたものです。この脆弱性は、管理者権限を持つリモート攻撃者が任意のファイルをアップロードし、リモートコード実行を達成する可能性があります。

この脆弱性はSMA 100シリーズ製品(SMA 210、410、500v)に影響し、バージョン10.2.2.1-90svで修正されています。

SonicWallはまた、この脆弱性が悪用された事例はないものの、Google Threat Intelligence Group(GTIG)による最近の報告を踏まえ、リスクが存在すると指摘しています。この報告では、UNC6148と呼ばれる脅威アクターが、完全にパッチが適用されたSMA 100シリーズデバイスを利用してOVERSTEPというバックドアを展開していた証拠が発見されています。

修正プログラムの適用に加え、同社はSMA 100シリーズデバイスの顧客に以下の対応を推奨しています。

  • 攻撃対象領域を減らすため、外部公開インターフェース(X1)でのリモート管理アクセスを無効化する
  • すべてのパスワードをリセットし、ユーザーおよび管理者のOTP(ワンタイムパスワード)バインディングを再初期化する
  • すべてのユーザーに多要素認証(MFA)を強制する
  • SMA 100でWebアプリケーションファイアウォール(WAF)を有効にする

SMA 100シリーズデバイスを使用している組織は、アプライアンスのログや接続履歴を確認し、不審な点や不正アクセスの兆候がないか調査することも推奨されています。

SMA 500v仮想製品を利用している組織は、OVAファイルのバックアップ、設定のエクスポート、既存の仮想マシンおよび関連するすべての仮想ディスクとスナップショットの削除、ハイパーバイザーを使用したSonicWallからの新しいOVAの再インストール、そして設定の復元が必要です。

翻訳元: https://thehackernews.com/2025/07/sophos-and-sonicwall-patch-critical-rce.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です