水曜日、CISAは連邦政府機関に対し、SonicWall Secure Mobile Access (SMA) 100シリーズのアプライアンスを、深刻度の高いリモートコード実行の脆弱性を悪用した攻撃から保護するよう警告しました。
CVE-2021-20035として追跡されているこのセキュリティ上の欠陥は、SMA 200、SMA 210、SMA 400、SMA 410、およびSMA 500v(ESX、KVM、AWS、Azure)デバイスに影響します。この脆弱性が悪用されると、複雑度の低い攻撃において、低権限を持つリモートの脅威者に任意のコードを実行される可能性があります。
SonicWallは今週更新したアドバイザリで、「SMA100管理インターフェイスの特殊要素の不適切な無効化により、リモートで認証された攻撃者が『nobody』ユーザーとして任意のコマンドを注入でき、コードの実行につながる可能性がある」と説明している。
SonicWallはほぼ4年前の2021年9月にこの脆弱性のパッチを適用しており、そのときは脆弱なアプライアンスをサービス拒否(DoS)攻撃でダウンさせるためにのみ悪用される可能性があるとしていた。
しかし月曜日、同社はCVE-2021-20035セキュリティアドバイザリを更新し、攻撃で悪用される可能性があるとし、CVSSの深刻度スコアを「中」から「高」にアップグレードし、影響範囲をコード実行まで拡大した。
「この脆弱性は野生の環境で活発に悪用されていると思われます。予防措置として、SonicWall PSIRTは概要を更新し、CVSSスコアを7.2に修正しました。
| 製品名 | プラットフォーム | 影響を受けるバージョン | 修正バージョン |
| SMA 100シリーズ | – SMA 200 – SMA 210 – SMA 400 – SMA 410 – SMA 500v (ESX、KVM、AWS、Azure) |
10.2.1.0-17sv以前 | 10.2.1.1-19sv以降 |
| 10.2.0.7-34sv およびそれ以前 | 10.2.0.8-37sv以降 | ||
| 9.0.0.10-28svおよびそれ以前 | 9.0.0.11-31sv以降 |
昨日、CISAは、サイバーセキュリティ機関が攻撃において積極的に悪用されているとしてフラグを立てたセキュリティ欠陥をリストアップするKnown Exploited Vulnerabilitiesカタログにこの脆弱性を追加することで、この脆弱性が現在悪用されていることを確認した。
2021年11月に発行された拘束力のある運用指令(BOD)22-01によって義務付けられているように、連邦民間行政機関(FCEB)は現在、5月7日までの3週間で、進行中の攻撃からネットワークを保護する必要がある。
BOD 22-01は米国連邦政府機関にのみ適用されるが、すべてのネットワーク防御者は、潜在的な侵害の試みを阻止するために、できるだけ早くこのセキュリティ脆弱性にパッチを適用することを優先すべきである。
CISAは、「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁に発生する攻撃手段であり、連邦政府企業にとって重大なリスクとなる」と警告している。
SonicWallは2月にも、ハッカーにVPNセッションを乗っ取られる可能性のある、Gen 6およびGen 7ファイアウォールの認証バイパスの欠陥が積極的に悪用されていることを警告している。
その1カ月前には、SMA1000セキュア・アクセス・ゲートウェイに影響する重大な脆弱性がすでにゼロデイ攻撃で悪用されているとの報告を受け、同社は顧客にパッチを当てるよう促した。
The post CISA、ソニックウォールVPNの欠陥が攻撃で積極的に悪用されているとタグ付け first appeared on PRSOL:CC.