🛡 概要
米SonicWallは、SonicOSのSSLVPNサービスに存在するスタックベースのバッファオーバーフロー脆弱性 CVE-2025-40601 に対する緊急パッチ適用を呼びかけている。本欠陥はリモートの未認証攻撃者でも悪用可能で、影響機器のファイアウォールをクラッシュさせサービス停止を引き起こす可能性がある。現時点で野放しの悪用は確認されていないが、可用性に直結するため迅速な修正が必要だ。併せて、Email Security製品に対する任意の持続的コード実行 CVE-2025-40604 と、機密情報の不正取得 CVE-2025-40605 も修正されている。CVSSはベンダ公表待ち(執筆時点)。
🔍 技術詳細
CVE-2025-40601は、SonicOSのSSLVPNサービスコンポーネントにおけるスタックベースのバッファオーバーフローが原因で発生するDoS脆弱性である。攻撃者はSSLVPNが公開されているエンドポイントに対し、特定の形式に細工したトラフィックを送信することで、境界装置上の当該プロセスに異常なメモリ書き込みを誘発し、プロセスクラッシュを引き起こす。SonicOSではプロセス異常により装置全体がリブートしたり、ウォッチドッグが動作してフェイルオーバーが発生する場合があり、VPNやL3/L4転送を含む広範なネットワーク機能が停止する恐れがある。認証前に到達可能なサービスで発生するため、アクセス制御が緩い環境ではインターネット越しに無差別に狙われ得る。対象はGen7およびGen8(ハードウェア・仮想)ファイアウォールで、Gen6やSMA 100/1000シリーズは影響を受けない。修正バージョンは、Gen7仮想(NSv270/470/870 on ESX/KVM/HYPER-V/AWS/Azure)およびGen7ハードウェア(例: TZ270/TZ370/TZ470/TZ570/TZ670、NSa 2700–6700、NSsp 10700–15700)が7.3.1-7013以上、Gen8(例: TZ80–TZ680、NSa 2800–5800)が8.0.3-8011以上。即時適用できない場合はSSLVPNサービスを無効化するか、信頼済み送信元に限定する回避策が推奨される。加えて、Email Securityアプライアンス群におけるCVE-2025-40604は持続的な任意コード実行、CVE-2025-40605は制限情報への不正アクセスを可能にするもので、該当製品の緊急アップグレードが必要である。
⚠ 影響
- ネットワーク可用性: Firewallクラッシュやリブートによる拠点間VPN、リモートアクセスの途絶、インターネット出口停止。
- 業務継続性: 会議・VDI・SaaS接続の断続、SLA違反、顧客影響。
- Email Security側面: 任意コード実行によりメール改ざん、スパム/フィッシング中継、横展開の踏み台化。情報漏えいリスクの増大。
ベンダは現時点で公開悪用やPoCの報告は把握していないが、露出面が広いSSLVPNでのDoSは攻撃者にとって容易な撹乱手段であり、早期対処が不可欠。
🛠 対策
- パッチ適用: Gen7は7.3.1-7013以上、Gen8は8.0.3-8011以上へ更新。Email Security製品も最新へ即時アップグレード。
- 暫定緩和: SSLVPNを一時停止、もしくは接続元を社内拠点/ゼロトラスト中継/特定IPに制限。不要な国/ASNをGeo/IP ACLで遮断。
- 公開面の縮小: 管理UI・SSLVPNの直公開を避け、アクセスプロキシやZTNAで前段保護。不要なポート/サービスを停止。
- 認証強化: VPN/Mail管理へのMFA、強固なパスワード管理、不要アカウント削除。
- 高可用性: HAペア/冗長回線の健全性確認、フェイルオーバー試験、構成バックアップのオフボックス保管。
- 監視強化: コアダンプ/再起動/プロセスクラッシュのアラート、SSLVPNへの接続試行急増検知、Email Securityの不審プロセス・改変監視。
📌 SOC視点
- ファイアウォール/SSLVPNログ: 短時間に集中するハンドシェイク失敗、異常サイズのリクエスト、プロセスクラッシュや再起動理由。Syslog例: segfault/core dump、watchdog reset、unexpected reboot。
- 稼働監視: SNMPトラップ(coldStart)、sysUpTimeのリセット、HAフェイルオーバーイベントの頻発。
- ネットワークテレメトリ: SSLVPN公開エンドポイント宛のフロー/パケット量の急増、単一IPからの高頻度到達。
- Email Security: 管理コンソールへの未知の管理者ログイン、想定外の子プロセス生成、スケジュール投入、外向き接続の新規発生、メールキュー/フィルタ設定の無権限変更。
- EDR観点: 境界装置自体にはEDRが載らないことが多い。踏み台化の痕跡として内部サーバ・管理端末での新規SSH/SMB/WinRM横移動、認証失敗の増加、未知バイナリの起動を相関。
📈 MITRE ATT&CK
- TA0040 Impact: T1498 Network Denial of Service(SSLVPNサービスの脆弱性を突いて境界装置をクラッシュさせ可用性を阻害)。
- TA0001 Initial Access: T1190 Exploit Public-Facing Application(公開されたSSLVPNやEmail Securityコンポーネントの脆弱性悪用)。
- TA0003 Persistence: T1053 Scheduled Task/Job(Email Securityでの持続的任意コード実行後に一般的に用いられる永続化手口の例)。
🏢 組織規模別助言
- 小規模(〜50名): まずSSLVPNを信頼IPのみに制限し、営業外は停止。今夜中に該当パッチ適用。監視はクラウド型Uptime監視でも可。バックアップ構成の取得を忘れずに。
- 中規模(50〜500名): 変更凍結ウィンドウを確保し、冗長構成の順次アップグレード。SOCで再起動/HA切替の相関ルールを即時導入。Email Securityはメンテ直後に設定差分の整合性確認と資格情報ローテーション。
- 大規模(500名超): 影響機器の一括インベントリと段階的ロールアウト計画、ブルーグリーン的切替。外部DDoS緩和と合わせた前段制御でSSLVPN露出を縮小。危機広報と顧客接点へのSLA影響最小化策を準備。
🔎 類似事例
- CVE-2023-27997(Fortinet FortiGate SSLVPNのPre-auth RCE、深刻な広範悪用)
- CVE-2023-46805 / 2024-21887(Ivanti Connect Secureの認証回避とRCEチェーン)
- CVE-2024-3400(Palo Alto Networks PAN-OS GlobalProtectのRCE)
- CVE-2021-20016(SonicWall SMA 100のSQLiによる認証回避)
- SMA 100系を狙ったOVERSTEPと報告されたルートキット事案の対処ファーム更新
🧭 次の一手
直ちに影響機器のバージョンを棚卸しし、示された修正版へ計画的に更新する。SSLVPN公開を最小化し、暫定的に信頼IPに限定。次に、組織内での境界装置パッチ適用標準手順書とロールバック手順を整備し、監視ルール(再起動・HA切替・SSLVPN急増)を恒久化。Email Securityはアップグレード後に認証情報をローテーションし、管理者アカウント・スケジュール・外向き接続の異常を確認。詳細はベンダの最新セキュリティアドバイザリとリリースノートを必ず参照。
