SonicWallは、SMA100 Secure Mobile Access (SMA) アプライアンスに影響を与える2つのセキュリティ脆弱性が、野外で悪用されていることを明らかにしました。
問題の脆弱性は以下の通りです –
- CVE-2023-44221 (CVSSスコア: 7.2) – SMA100 SSL-VPN管理インターフェースにおける特殊要素の不適切な中和により、管理者権限を持つリモート認証済み攻撃者が「nobody」ユーザーとして任意のコマンドを注入できる可能性があり、OSコマンドインジェクションの脆弱性につながる可能性があります。
- CVE-2024-38475 (CVSSスコア: 9.8) – Apache HTTP Server 2.4.59およびそれ以前のバージョンのmod_rewriteにおける出力の不適切なエスケープにより、攻撃者がサーバーによって提供されることが許可されているファイルシステムの場所にURLをマッピングすることが可能になります。
両方の脆弱性は、SMA 100シリーズのデバイス(SMA 200、210、400、410、500vを含む)に影響を与え、以下のバージョンで対処されました –
- CVE-2023-44221 – 10.2.1.10-62svおよびそれ以降のバージョン(2023年12月4日に修正)
- CVE-2024-38475 – 10.2.1.14-75svおよびそれ以降のバージョン(2024年12月4日に修正)
2025年4月29日の勧告の更新で、SonicWallは、脆弱性が野外で悪用されている可能性があると述べ、顧客に対してSMAデバイスを確認し、不正なログインがないことを確認するよう促しました。
“さらなる分析の結果、SonicWallと信頼できるセキュリティパートナーは、CVE-2024-38475を使用した追加の悪用技術を特定しました。これにより、特定のファイルへの不正アクセスがセッションハイジャックを可能にする可能性があります。”と同社は述べました。
現在、脆弱性がどのように悪用されているか、誰が標的にされているか、攻撃の範囲と規模についての詳細はありません。
この開示は、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、SonicWall SMA 100シリーズゲートウェイに影響を与える別のセキュリティ脆弱性(CVE-2021-20035、CVSSスコア: 7.2)を、積極的な悪用の証拠に基づいて、既知の悪用脆弱性(KEV)カタログに追加した数週間後に行われました。