TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

CISA、SonicWallの脆弱性が悪用されていることを確認

執筆者

エッジセキュリティプロバイダーのSonicWallは、同社製品に影響する新たな脆弱性の波に直面しており、これらは実際に悪用されています。

5月1日、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、既知の悪用されている脆弱性(KEV)カタログに、CVE-2023-44221およびCVE-2024-384752つの新たな脆弱性を追加しました。

CVE-2023-44221:SonicWallの2023年 認証後コマンドインジェクション

CVE-2023-44221は、SonicWallのSecure Mobile Access(SMA)、具体的にはSMA 100のSSL-VPN管理インターフェースにおける特殊要素の不適切な無害化に起因する、認証後のコマンドインジェクション脆弱性です。

悪用されると、この高深刻度の欠陥(CVSS 3.1基本スコア7.2)により、管理者権限を持つリモートの認証済み攻撃者が、「nobody」ユーザーとして任意のコマンドを注入できます。SMA 200、SMA 210、SMA 400、SMA 410、SMA 500vに影響します。

この脆弱性は、DBappSecurity Co., LtdのWebin labに所属するセキュリティ研究者のWenjie Zhong(H4loとしても知られる)によって検出され、CVE採番機関(CNA)であるSonicWallにより2023年12月に公開されました。

SonicWallは、SMA 100シリーズのバージョン10.2.1.10-62sv以降で修正をリリースし、同じく2023年12月に公開されたセキュリティアドバイザリで共有しました。

2025年4月29日のアドバイザリ更新で、SonicWallはCVE-2023-44221が「実環境で悪用されている可能性がある」ことを確認しました。

この悪用は、現在CISAによっても確認されています。

CVE-2024-38475:Apache HTTP Serverの2024年 認証前の任意ファイル読み取り

CVE-2024-38475は、Apache HTTP Serverに影響する、認証前の任意ファイル読み取りの脆弱性です。

これは、Devcoreの主任セキュリティ研究者であるOrange Tsaiによって、Black Hat USA 2024で、Apache HTTP Serverにおける9つの異なる脆弱性のうちの1つとして初めて公開されました。

Apache HTTP Serverに関する最新の研究を公開できて興奮しています。いくつかのアーキテクチャ上の問題を明らかにしました! https://t.co/YzYcwxOGBn

主なポイントは以下のとおりです:
⚡ DocumentRootからSystem Rootへの脱出
⚡ 「?」だけで組み込みACL/認証をバイパス
⚡ レガシーコードでXSSをRCEに変換…

— Orange Tsai 🍊 (@orange_8361) 2024年8月9日

CVE-2024-38475は、Apache HTTP Server 2.4.59以前のmod_rewriteにおける出力の不適切なエスケープに起因する重大な欠陥(CVSS 3.1基本スコア9.8)です。悪用されると、攻撃者はURLを、サーバーが提供を許可しているファイルシステム上の場所にマッピングできるようになります。

CVE-2024-38475は公式にはApacheの脆弱性として扱われていますが、WatchTowr Labsは、2025年5月2日に公開した2つの脆弱性に関する新しいレポートの中で、SonicWallのSMA 100シリーズ(SMA 200、210、400、410、500v)にも、バージョン10.2.1.13-72sv以前で影響があると説明しています。

WatchTowrのレポートには次のように記されています。「これはApache HTTP Serverに紐づくCVEですが、現在のCVEの割り当て方法の都合上、SonicWallが脆弱なバージョンを使用していることに対して別個のCVEは割り当てられない点に注意することが重要です。」「このため、CISAのKEV掲載に対応する人々にとって状況が分かりにくくなります。CISAは、SonicWallデバイスを攻撃するために2つの脆弱性が組み合わせて使用されていることを指しています。」

CVE-2024-38475は、別のCNAであるApache Software Foundationによって、2024年7月に公開されました。

2024年12月、SonicWallは、CVE-2024-38475を含むSMA 100シリーズに影響する6つの脆弱性に対処するセキュリティアドバイザリを公開しました。

このアドバイザリには、SMA 100シリーズ10.2.1.14-75sv以降での修正が含まれています。

SonicWallは2025年4月29日にアドバイザリを更新し、CVE-2024-38475および関連する5つの欠陥が実環境で悪用され得るとしてユーザーに警告しました。

WatchTowrはレポート内で、CVE-2023-44221CVE-2024-38475を連鎖させる概念実証(PoC)のチェーン攻撃エクスプロイトを共有しました。

写真クレジット:Michael Vi/Tada Images/Shutterstock

翻訳元: https://www.infosecurity-magazine.com/news/cisa-exploitation-sonicwall/

ソース: infosecurity-magazine.com
#Apache HTTP Server #CISA #CVE-2023-44221 #CVE-2024-38475 #KEVカタログ #SMA 100シリーズ #SonicWall #SSL-VPN #コマンドインジェクション #ゼロデイ攻撃(野放しの悪用)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新