SonicWall VPNという製品があります。
名前の通り、SonicWall社が提供する、安全なリモートアクセス環境を実現するためのVPN(仮想プライベートネットワーク)ソリューションです。
主に企業のテレワーク環境や拠点間の接続に利用されます。
このVPN製品において、多要素認証を回避できてしまう脆弱性が案内されています。
この脆弱性の識別子は、CVE-2024-12802です。
攻撃者は、SonicWall Gen6 SSL-VPNアプライアンス上でVPN認証情報をブルートフォース攻撃で突破し、多要素認証(MFA)を回避して、ランサムウェア攻撃に使用されるツールを展開した事例が確認されています。
何が起こったのでしょうか。
- CVE-2024-12802のパッチ
CVE-2024-12802の問題を修正することのできるパッチはすでに提供されています。
CVE-2024-12802の問題の対象範囲は広いのですが、そのそれぞれに適用できるものがリリース済みとなっています。 - 適用対象によって実施すべき対策が異なる
これが問題となりました。
対象デバイスの種類にはいくつかあるのですが、これが影響するのは「SonicWall Gen6 SSL-VPNアプライアンス」です。
なんとこのGen6の機種においては、パッチを適用するだけでは脆弱性が対策された状態にはならず、パッチ適用後に一部設定の再設定作業を実施する必要があったのです。
Gen6世代の機種では、パッチ適用作業を実施してこの再設定作業を実施していない場合、脆弱性が存在したままになるものだったのです。
脅威アクターはこの状態の機器を標的として活動しました。
侵入に成功した脅威アクターは、ドメインに参加しているファイルサーバに到達し、ローカル管理者パスワードを使用してRDP経由でリモート接続を確立するところまで進んでしまった事例も出てきました。
他の対象デバイスとしては「SonicWall Gen7 SSL-VPNアプライアンス」や「SonicWall Gen8 SSL-VPNアプライアンス」もあるのですが、これらはパッチ適用のみで脆弱性対策が完了した状態になります。
これは厳しい事例となりました。
このGen6世代の機種は2026年4月16日にサポートが終了しています。
サポートが終了した製品は速やかにサポート中の製品に切り替えていくことが安全性を考える場合重要となります。
しかし、です。
サポート終了していてもセキュリティ対策パッチが提供されて継続利用組織は喜んだことでしょう。
そして対策のためのパッチを適用したのです。
しかし、安全な状態になるように完了させるためには、追加作業が必要だったのですが、それが実施できていなかったのです。
厳しいです。
脆弱性に関する情報は多く案内されますので、その関連資料を隅から隅まで読むのは簡単なことではありません。
必要な操作が一部未実施だったために侵害されたという事例の話でしたが、これに腐るべきではありません。
日々、資産管理とパッチケイデンスを維持し、少しでも危険の可能性を減らした状態にしていくことを目指しましょう。
継続は力なり、です。
Security Advisory Vulnerability List SNWLID-2025-0001
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0001
| この記事をシェア |
|
|---|
