PR

SonicWallがSMA 100のCVE-2025-40602を修正、悪用確認

Security

Source:https://thehackernews.com/2025/12/sonicwall-fixes-actively-exploited-cve.html

🛡 概要

SonicWallは、Secure Mobile Access (SMA) 100シリーズに存在する権限昇格の欠陥CVE-2025-40602(CVSS 6.6)を修正しました。本脆弱性はアプライアンス管理コンソール(AMC)の認可不備が原因で、攻撃の実利用が確認されています。加えて、ベンダ発表によればCVE-2025-23006(CVSS 9.8、2025年1月末に修正)と連鎖させることで、認証不要のリモートコード実行からroot権限に到達可能です。対象は12.4.3-03093(platform-hotfix)以前および12.5.0-02002(platform-hotfix)以前で、修正はそれぞれ12.4.3-03245/12.5.0-02283(platform-hotfix)で提供されています。発見者はGoogle Threat Intelligence GroupのClément Lecigne氏とZander Work氏です。

🔍 技術詳細

CVE-2025-40602は、SMA 100のAMC(Appliance Management Console)における権限チェックの不備に起因するローカル権限昇格(LPE)です。単体ではローカルコンテキスト(すでに装置上でコード実行可能な状態)を前提としますが、CVE-2025-23006のような未認証RCEと組み合わせられると、管理者認証を介さずに外部からコード実行→AMC経由で権限昇格→root奪取という実用的な攻撃チェーンが成立します。これにより設定・証明書・ユーザーデータ・VPNセッション情報を含む装置全体の完全制御が可能になります。ベンダは、12.4.3系では12.4.3-03245、12.5.0系では12.5.0-02283のplatform-hotfixでLPEを修正し、CVE-2025-23006は12.4.3-02854以降で対処済みと案内しています。攻撃規模・攻撃主体は未公表ですが、同社装置を狙う脅威アクターの活動が過去から観測されており、2024年7月にはGoogleがEoLのSMA 100を標的とするUNC6148と呼ばれるクラスター(バックドアOVERSTEP投入)を追跡していました。今回の活動との関連は不明ながら、境界アプライアンスの露出リスクと素早いパッチ適用の重要性を再確認させる事案です。

バージョン影響範囲(ベンダ公表): 12.4.3-03093(platform-hotfix)およびそれ以前、12.5.0-02002(platform-hotfix)およびそれ以前。修正済み: 12.4.3-03245、12.5.0-02283(いずれもplatform-hotfix)。連鎖に用いられたCVE-2025-23006(CVSS 9.8)は12.4.3-02854(platform-hotfix)で修正。CVSS: CVE-2025-40602は6.6、CVE-2025-23006は9.8。

⚠ 影響

  • 装置完全制御(root)により、設定改ざん、ユーザー追加、証明書/秘密鍵窃取、VPNセッションの乗っ取りが可能
  • 企業内部への横展開(踏み台化)、トラフィック盗聴、信頼連鎖の破壊(悪性設定配布)
  • サービス停止・再イメージの必要に伴うVPN/リモートアクセス断による業務影響

🛠 対策

  • 至急アップデート: 12.4.3系は12.4.3-03245、12.5.0系は12.5.0-02283(platform-hotfix)へ。未適用のCVE-2025-23006も12.4.3-02854以降で必ず解消
  • 管理面の防御: インターネット経由の管理UIを閉塞または社内/VPN限定。管理アクセスのIP許可リスト化、MFA必須化
  • 影響調査: 管理者/システムユーザーの不審追加、設定・証明書の改変、未知プロセス/cronの作成、外向きC2通信を点検。疑義時はバックアップ後に再イメージ
  • 資格情報の衛生: 管理者/サービスアカウントのパスワード・APIキー・証明書をローテーション、既存セッションの失効
  • ネットワーク緩和: 管理プレーン分離/セグメンテーション、WAF/NGFWで管理パスの厳格化、ログの集中収集/長期保管
  • EoL機器は更新・更改を最優先(暫定として厳格なアクセス制御と監視を強化)

📌 SOC視点

  • ログ源: SMAシステム/監査/管理コンソールのイベント、認証/アカウント変更、設定変更、プロセス生成、ネットワーク接続、WAF/NGFWのHTTPトラフィック
  • 兆候: 管理UIへの大量POST/エラー急増、Webサービス主体からのシェル/スクリプト起動、cron・起動スクリプトの新規作成、未知の管理者作成、外部への長時間持続接続
  • 検知例: 低権限プロセスからの特権コマンド実行、権限昇格失敗/成功の直列発生、設定バックアップの不審実行、証明書エクスポート
  • 対応: 影響端点の隔離→フォレンジック(タイムライン、コンフィグ差分、プロセス/ネットワークダンプ)→証跡保全→段階的復旧(クリーン再イメージ)

📈 MITRE ATT&CK

  • TA0001 Initial Access / T1190 Exploit Public-Facing Application: CVE-2025-23006による未認証RCEは公開アプリの脆弱性悪用に該当
  • TA0002 Execution / T1059 Command and Scripting Interpreter: RCE達成後のOSコマンド/シェル実行が想定される
  • TA0004 Privilege Escalation / T1068 Exploitation for Privilege Escalation: CVE-2025-40602はAMCの認可不備を突くLPEそのもの
  • (状況次第)TA0003 Persistence / T1053 Scheduled Task/Job: 攻撃者がcron等で永続化する可能性
  • (状況次第)TA0011 Command and Control / T1071 Application Layer Protocol: 管理プレーンから外部C2へHTTP(S)通信を確立する可能性

🏢 組織規模別助言

  • 〜50名: 即時パッチ適用、外部管理閉塞、MFA適用。ログ収集が不十分な場合はベンダ/MSPに調査を委託し、疑義時は再イメージ+資格情報全面更新
  • 50〜500名: 変更管理下で段階適用(検証→本番)。脆弱性管理とアセット台帳を連携し未適用ノードを可視化。IR手順(隔離・連絡・復旧)を演習
  • 500名以上: フリート管理(バージョン準拠性ダッシュボード)、管理面のゼロトラスト(JITアクセス、IP制限)、検知コンテンツの継続チューニング、脅威ハンティングでバックドア痕跡を探索

🔎 類似事例

  • CVE-2025-23006(SMA 100の未認証RCE、CVSS 9.8)との連鎖悪用
  • CVE-2021-20016(SMA 100のSQLi悪用で広範に攻撃が観測された既往例)
  • Ivanti Connect Secureの連鎖脆弱性(CVE-2023-46805/2024-21887)での境界アプライアンス侵害
  • Fortinet FortiOSのRCE(CVE-2022-42475)を用いた境界機器侵害キャンペーン
  • UNC6148によるEoL SMA 100へのOVERSTEP投入(関連性は現在不明)

🧭 次の一手

まず対象バージョンの有無を棚卸しし、該当機器はベンダ推奨のplatform-hotfixへ即時更新。外部管理を閉じ、管理アクセスは社内/VPN限定とし、MFA・IP制限を徹底。過去30〜90日のログで不審挙動を横断確認し、疑義があればクリーン再イメージと資格情報ローテーションを実施してください。