SonicWall SMAシリーズを狙うVPN認証情報窃取キャンペーンが進行中 CVE-2021-20035の悪用か

Arctic Wolf社は、SonicWall(ソニック ウォール)のSMAシリーズアプライアンスを標的とした、VPN認証情報の窃取キャンペーンを追跡していると発表しました。この攻撃キャンペーンは、SonicWallが2025年4月15日に更新した脆弱性アドバイザリで言及されたCVE-2021-20035と関連している可能性があります。

この脆弱性は、CISA（米サイバーセキュリティ庁）の「既知の悪用済み脆弱性（KEV）」カタログにも追加されており、現在も実際に悪用が確認されています。

脆弱性 CVE-2021-20035の概要

CVE-2021-20035は、もともとサービス拒否（DoS）の可能性がある脆弱性として2021年に公表されていましたが、2025年4月15日のアドバイザリ更新により、リモートコード実行（RCE）のリスクがあると再評価されました。これに伴い、CVSSスコアも7.2（高）に引き上げられています。

ただし、依然としてこの脆弱性の悪用は認証済みユーザーに限定されるとされています。しかし、以下のような方法で攻撃者がVPN認証情報を取得する事例は少なくありません

• パスワードリスト攻撃（パスワードスタッフィング）

• 総当たり攻撃（ブルートフォース）

• 辞書攻撃

これらの手法で取得されたアカウントを利用し、CVE-2021-20035を組み合わせることで、攻撃者は長期間の潜伏やさらなる侵害範囲の拡大を図ることが可能です。

攻撃キャンペーンの詳細

このキャンペーンは、2025年1月から4月にかけて継続的に確認されており、対象はSonicWall SMA 100シリーズの各モデルとされています。特に問題視されているのは、以下の既定のローカル管理アカウントの存在です：

• アカウント名：admin@LocalDomain

• 初期パスワード：password（極めて危険）

このような初期設定のまま運用されているデバイスは、パッチを適用していても容易に侵害されるリスクがあります。

影響を受ける製品と対応バージョン

推奨される対応策

最新ファームウェアへのアップデート

使用中のSMAシリーズが上記バージョンに該当する場合は、SonicWallの公式サポートサイトから最新のファームウェアに更新してください。

ローカルアカウントの強化

• 全アカウントに多要素認証（MFA）を有効化

• 初期パスワードを使用しない

• ローカルアカウントのパスワードを強固なものに変更

• 不要なアカウントは無効化または削除

VPNアクセスの最小化

業務上必要なユーザーのみにVPNアクセスを許可し、最小権限の原則を徹底してください。

ログ監視の設定

• SMAアプライアンスのログをsyslogサーバーに転送

• 定期的なログレビューを実施し、異常な挙動を早期検

参照

Credential Access Campaign Targeting SonicWall SMA Devices Potentially Linked to Exploitation of CVE-2021-20035