SonicWall SMA 100シリーズに深刻な脆弱性-認証済みリモートコード実行の恐れ(CVE-2025-40599)

セキュリティニュース

投稿日時: 更新日時:

SonicWall SMA 100シリーズに深刻な脆弱性-認証済みリモートコード実行の恐れ(CVE-2025-40599)

2025年7月、SonicWall SMA 100シリーズ(SMA 210、410、500v)のWeb管理インターフェースにおいて、認証済み任意ファイルアップロード脆弱性(CVE-2025-40599)が発見され、SonicWallより緊急のセキュリティアドバイザリが公開されました。この脆弱性は、管理者権限を持つ攻撃者がWeb UIから任意ファイルをアップロードすることで、リモートコード実行(RCE)が可能になるという深刻なものです。

脆弱性の概要

今回SonicWallが公開した脆弱性(CVE-2025-40599)は、SMA 100シリーズ製品(SMA 210 / 410 / 500v)のWeb管理インターフェースにおける認証済みのファイルアップロードの不備に起因するものです。

この問題は、管理者としてログインした攻撃者が、管理画面を通じて任意のファイルをデバイス上にアップロードできてしまうというもので、悪用されるとそのファイルを介してリモートからコードを実行する(RCE)ことが可能になります。言い換えれば、攻撃者がファイアウォールやVPN機器そのものを“踏み台”として制御下に置くことができる状態です。

この脆弱性の深刻度は、CVSSスコア9.1(Critical)と非常に高く評価されており、組織のネットワーク基盤に重大な影響を及ぼす恐れがあります。

対象となるファームウェアバージョンは10.2.1.15-81sv以前であり、最新版(10.2.2.1-90sv)で修正済みです。

現在のところ、当該脆弱性が「野放しで悪用された」という証拠は確認されていませんが、Google Threat Intelligence Group(GTIG)の報告では、攻撃者グループ「UNC6148」がSMA 100シリーズを利用してバックドア(OVERSTEP)を展開していた形跡があるとされています。つまり、攻撃者がSMAの管理者アカウントを取得した上で、この脆弱性と組み合わせて侵入を拡大させていた可能性があるということです。

こうした背景から、単にパッチを当てるだけでなく、パスワードリセットやOTP(ワンタイムパスワード)の再初期化、ログの確認などの追加対策が強く推奨されています。

SonicWallの推奨対応策

SonicWallは、仮想・物理問わず全SMA 100シリーズの利用者に、以下の対応を強く推奨しています。

全デバイスに共通の対応

  • 外部向けインターフェース(X1)のリモート管理アクセスを無効化

  • すべてのユーザーと管理者のパスワードをリセット

  • OTP(One-Time Password)のバインディングを再初期化

  • 多要素認証(MFA)の強制適用

  • Web Application Firewall(WAF)の有効化

  • ログおよび接続履歴の精査、不正アクセス兆候の確認

SMA 500v(仮想アプライアンス)に対する特別対応

仮想版のSMA 500vについては、構成の完全再構築が推奨されています。

 手順概要:

  1. 仮想マシンを完全削除

    • 現在のSMA 500v VMとすべてのスナップショット、仮想ディスクを削除

  2. 新しいOVAイメージのデプロイ

    • mysonicwall.com から最新版をダウンロードし、ハイパーバイザーで導入

  3. 設定の手動再構築

    • 旧設定ファイルは一切使用せず、ユーザーアカウント、パスワード、OTP、証明書などもすべて再作成

  4. 証明書の再発行

    • アプライアンス上に秘密鍵が保存されていた場合は、該当する証明書を必ず失効・再発行