Sophos FirewallにCVSS9.8の脆弱性 4000台以上がいまだ修正されず

VulnCheckがSophos Firewallに関するセキュリティアップデートの適用状況を調査した。2022年9月に公開された深刻度「緊急」（Critical）の脆弱性に対して現在も修正されてないファイアウォールが4000以上発見されたという。

[後藤大地，有限会社オングス]

　VulnCheckは2023年1月13日（現地時間）、同社のブログで「Sophos Firewall」に関する調査結果を伝えた。

　Sophos Firewallからは2022年9月に深刻度「緊急」（Critical）の脆弱（ぜいじゃく）性が発見され、修正プログラムが配布された。しかしVulnCheckの調査によると自動ホットフィックスや通知によってアップデートを促す注意喚起が発信されているにもかかわらず、依然として4000を超えるファイアウォールが脆弱性を持つ旧バージョンのままであることが分かった。

VulnCheckはSophos Firewallに関する調査結果を公開した（出典：VulnCheckのWebサイト）

4000以上のファイアウォールがアップデート未適用の現実

　Sophosは2022年9月23日にSophos Firewallの脆弱性を公開した。それらはSophos FirewallのユーザーポータルおよびWebadminにおけるコードインジェクションの脆弱性で、深刻度「緊急」（Critical）に分類される。

　脆弱性の影響を受けるとされるバージョンは以下の通りだ。

• Sophos Firewall v19.0 MR1（19.0.1）およびこれより以前のバージョン

　脆弱性に関する情報は以下のページに掲載されている。

• Resolved RCE in Sophos Firewall（CVE-2022-3236） | Sophos

　その他、脆弱性情報は「NVD - CVE-2022-3236」にも掲載されており、こちらのページでは本脆弱性を共通脆弱性評価システム（CVSS）スコア値で9.8と評価している。

　今回の調査で注目されるのは、脆弱性の修正が自動的に適用される仕組みになっており、さらに自動修正プログラムを受け取らないユーザーに対しては更新プログラムを自動的に適用するよう通知されているにもかかわらず、4000を超えるファイアウォールが古いバージョンのまま運用されていることが発見された点にある。

　本稿執筆時点で、同脆弱性に関する正式なPoC（概念実証）は公開されていないが、開発自体はそれほど難しくないと指摘されている。脆弱性の深刻度は「緊急」ではあるが、製品自体のデフォルトの挙動などの効果でこれを悪用することは難しいと考えられており、それほど深刻な状況を引き起こすことにはなりにくい。

　本調査結果は、オートフィックスが適用されているプロダクトであっても、定期的に使用しているバージョンを確認したり脆弱性情報を確認したりすることの大切さを示唆している。自動更新プログラムは便利ではあるが常に完璧に機能するとは限らず、特定の条件で機能しないことも考えられるため注意してほしい。