危険な状態のVPN3700台が「野ざらし」か SonicWall製VPNユーザーは注意を：Cybersecurity Dive

SonicWallはSMAの1000シリーズのVPNにリモートコード実行の脆弱性が存在すると発表した。この脆弱性は既に悪用されており、約3700台の無防備なデバイスがインターネットに露出しているという。

[David Jones，Cybersecurity Dive]

　サイバーセキュリティ事業を営むCensysの研究者は2025年1月27日（現地時間、以下同）、ブログへの投稿で「最近発見された重大な脆弱（ぜいじゃく）性が公開された後、約3700台の、SonicWallが提供するSMAの1000シリーズのVPNがインターネット上に露出している」と述べた（注1）。

SonicWallのVPNデバイスに脆弱性　攻撃者の悪用を確認済み

　SonicWallは2025年1月24日に、リモートコードを実行できる脆弱性が攻撃者によって積極的に悪用されていることを確認した（注2）。この脆弱性は「CVE-2025-23006」として登録されており（注3）、Microsoft Threat Intelligenceが最初に発見して報告した。

　Microsoft Threat Intelligenceは「X」（旧「Twitter」）への投稿で「アプライアンスの内部インタフェースにアクセスできる攻撃者は、この脆弱性を悪用すればデバイスを乗っ取ることが可能となる」と述べた（注4）。

　一方、サイバー脅威インテリジェンスを提供する非営利団体であるThe Shadowserver Foundationの研究者は（注5）、2025年1月27日に「Cybersecurity Dive」に対して「SonicWallが提供するSMAの1000シリーズのうち、インターネットに露出し、潜在的に脆弱なものは約180台しか確認されていない」と述べた。

　以前、SonicWallは、脆弱なバージョンのファームウェアを実行しているアプライアンスのうち、Webベースの「Appliance Management」や「Central Management」のコンソールへの管理者アクセスが可能なものは、インターネットに公開されている場合、特に危険にさらされると警告していた。

　Microsoft Threat Intelligenceは2025年1月20日の週にこの脆弱性を標的とした脅威活動の証拠を公開した。また、SonicWallは同年1月24日に攻撃者がこの脆弱性を悪用していることを確認した。現時点では、悪用後に実施されている活動は明らかになっておらず、被害者に関する情報も明らかにされていない。

　今回のサイバー攻撃キャンペーンは、SonicWallのアプライアンスに関連する一連のセキュリティ問題の最新の事例である。SonicWallのデバイスは、これまでにも経済的な目的を有する複数の脅威グループによって標的にされてきた。

　Censysによると、「CVE-2021-20016」や「CVE-2021-20028」を含む過去の脆弱性は（注6）（注7）、ランサムウェアグループの「UNC2447」や「HelloKitty」「Five Hands」をはじめとするさまざまな攻撃者によって悪用されてきたという。

　SonicWallの広報担当者は、現時点ではコメントに応じていない。

（注1）January 27 Advisory: SonicWall RCE Vulnerability Added to CISA KEV [CVE-2025-23006]（censys）
（注2）SonicWall warns hackers targeting critical vulnerability in SMA 1000 series appliances（Cybersecurity Dive）
（注3）CVE-2025-23006 Detail（NIST）
（注4）Microsoft Threat Intelligence（X）
（注5）Time series（SHADOW SERVER）
（注6）CVE-2021-20016 Detail（NIST）
（注7）CVE-2021-20028 Detail（NIST）

原文へのリンク