Source: https://thehackernews.com/2025/07/sophos-and-sonicwall-patch-critical-rce.html
🛡 概要
SophosとSonicWallは、Sophos FirewallおよびSecure Mobile Access (SMA) 100シリーズデバイスにおいて、リモートコード実行(RCE)が可能な重大なセキュリティ脆弱性を報告しました。これらの脆弱性は、特定の条件下で悪用される可能性があり、企業のセキュリティに深刻な影響を及ぼす恐れがあります。特に、CVE-2025-6704およびCVE-2025-7624は、CVSSスコアが9.8と高く、これらの脆弱性が存在するデバイスは早急に対策を講じる必要があります。
🔍 技術詳細
報告された脆弱性は以下の通りです。
CVE-2025-6704(CVSSスコア: 9.8)は、Secure PDF eXchange (SPX) 機能における任意のファイル書き込みの脆弱性で、高可用性(HA)モードでのファイアウォールが特定の設定で動作している場合、事前認証でのリモートコード実行が可能です。
CVE-2025-7624(CVSSスコア: 9.8)は、古いSMTPプロキシにおけるSQLインジェクションの脆弱性で、メールの隔離ポリシーが有効な場合に悪用され、リモートコード実行が可能になります。
さらに、CVE-2025-7382(CVSSスコア: 8.8)は、WebAdminコンポーネントにおけるコマンドインジェクションの脆弱性で、OTP認証が有効な場合に事前認証でのコード実行が可能です。
⚠ 影響
これらの脆弱性は、Sophos Firewall v21.5 GA以前のバージョンとSMA 100シリーズ製品に影響を及ぼします。具体的には、CVE-2025-6704は約0.05%のデバイス、CVE-2025-7624は0.73%のデバイスに影響があるとされています。SonicWallのSMA 100シリーズに関しては、CVE-2025-40599(CVSSスコア: 9.1)が特に懸念されており、管理者権限を持つ攻撃者が任意のファイルをアップロードし、リモートコード実行の可能性があります。これにより、組織の機密情報やシステム全体が危険にさらされることになります。
🛠 対策
SophosおよびSonicWallは、これらの脆弱性に対するパッチを提供しています。ユーザーは、直ちに最新のファームウェアにアップデートすることが推奨されます。また、SMA 100シリーズデバイスの顧客は、以下の対策を講じることが重要です:
1. 外部インターフェース(X1)でのリモート管理アクセスを無効にし、攻撃面を減少させる。
2. すべてのパスワードをリセットし、ユーザーと管理者のOTPバインディングを再初期化する。
3. すべてのユーザーに対して多要素認証(MFA)を強制する。
4. SMA 100上でWebアプリケーションファイアウォール(WAF)を有効にする。
これらの施策を実施することで、リスクを大幅に低減させることが可能です。
