旧型のSonicWall SMA100の脆弱性が攻撃者に人気 なぜ狙われているのか？：Cybersecurity Dive

CISAは「既知の悪用された脆弱性カタログ」に、リモートアクセス機器「SonicWall SMA100」に存在するOSコマンドインジェクションの脆弱性を追加した。SonicWallの脆弱性はサイバー攻撃者たちに積極的に悪用されている。その理由とは。

[Rob Wright，Cybersecurity Dive]

　ネットワークセキュリティサービスを提供するSonicWallは2025年4月15日（現地時間、以下同）、リモートアクセス機器「SonicWall SMA100」に存在するOSコマンドインジェクションの脆弱（ぜいじゃく）性「CVE-2021-20035」が悪用されていると明かした（注1）。この脆弱性は2021年9月に最初に公表され、修正パッチも提供されている。

SonicWallの脆弱性はなぜ攻撃者に人気なのか？

　当初、共通脆弱性評価システム（CVSS）において、同脆弱性には中程度の深刻度を示す6.5というスコアが割り当てられていた。しかしSonicWallは後にこのスコアを7.2に引き上げ、「CVE-2021-20035」を高い深刻度を有する脆弱性と位置付けた。

　米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）は2025年4月15日、「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）に同脆弱性を追加した（注2）。この脆弱性の悪用にランサムウェア攻撃が関与しているかどうかは不明とされている。

　SonicWallによると、「CVE-2021-20035」はSMA100の管理インタフェースにおける特殊要素の不適切な無害化に起因する脆弱性だという。この脆弱性が悪用されると、攻撃者は「nobody」ユーザーとして任意のコマンドをリモートで注入できるようになり、それがコードの実行につながる恐れがある。

　この脆弱性は、中国のQihoo 360 Technologyに所属するセキュリティ研究者であるウェンシュ・イン氏によって発見および報告された。

　KEVに追加されたことにより、米連邦政府の行政機関は2025年5月7日までにSonicWallの製品に対してパッチを適用するか、対策が実施できない場合はその製品の使用を中止しなければならない。

　SonicWallの広報担当者は「Cybersecurity Dive」に対し「当社は現在、悪用の範囲と詳細について積極的に調査を進めている」と述べた。

　「この脅威活動は、信頼できるSonicWallのセキュリティパートナーから報告されたものだ。この脆弱性は古いファームウェアを実行しているSMA100のデバイスに影響を与えるものだが、当社は顧客に対して、アドバイザリーで示した対策手順に従って最新のファームウェアにアップデートするよう強く推奨している。セキュリティの基本対策やパッチの適用、ファームウェアの適時更新が防御の鍵であり、私たちは脅威の進化に対応するため、透明性とパートナーとの連携を今後も重視していく」（SonicWallの広報担当者）

　SonicWallの脆弱性は、サイバー犯罪者や国家から支援を受ける攻撃者を含むさまざまな脅威主体にとって格好の標的となっている（注3）。これはVPNやファイアウォールといったエッジデバイスに対する関心が高まっているためだ。2025年2月には、SonicWallのファイアウォールのSSL VPN機構における認証不備の脆弱性「CVE-2024-53704」がCISAのカタログに追加された（注4）。サイバーセキュリティ事業を営むCensysは、450台以上の脆弱なファイアウォールがインターネット上に公開されていることを報告している（注5）。

（注1）CVE-2021-20035 Detail（NIST）
（注2）CISA Adds One Known Exploited Vulnerability to Catalog（CISA）
（注3）Chinese APTs Cash In on Years of Edge Device Attacks（DARKREADING）
（注4）CVE-2024-53704 Detail（NIST）
（注5）More than 400 SonicWall firewall instances remain vulnerable to attack（Cybersecurity Dive）

原文へのリンク