SonicWall SMA100シリーズに重大な脆弱性、複合的なサイバー攻撃のリスクに警戒-JPCERT/CC

2025年4月29日、SonicWall(ソニックウォール)は同社製品「SMA100シリーズ」に関する複数の脆弱性についてアドバイザリ（SNWLID-2023-0018、SNWLID-2024-0018）を更新しました。このうち、CVE-2023-44221（OSコマンドインジェクション）とCVE-2024-38475（パストラバーサル）の2件を組み合わせた攻撃が可能であることが新たに明らかになり、JPCERT/CCからも国内利用者に対して注意喚起が行われています。

特に、watchTowr Labsが5月2日に公開した実証コード（PoC）により、サイバー攻撃が現実化するリスクが高まっており、対策が急務となっています。

対象製品と影響範囲

脆弱性の影響を受けるのは以下のSonicWall製品です。

• 対象モデル：SMA 200、210、400、410、500v

• 影響バージョン：

  • CVE-2023-44221：10.2.1.9-57sv以前

  • CVE-2024-38475：10.2.1.13-72sv以前

なお、SMA1000シリーズは影響を受けません。

CVE-2024-38475（パストラバーサル）

• Apache HTTP Serverの脆弱性を悪用し、攻撃者が不正にファイルシステムへアクセスできる可能性。

• セッションハイジャックや管理者権限への侵害リスクが指摘されています。

CVE-2023-44221（OSコマンドインジェクション）

• 特定の診断メニューの処理ミスにより、認証後に任意コマンドが実行可能。

• 攻撃者は特権昇格なしに“nobody”権限でコマンド実行が可能。

これら2つの脆弱性は連鎖的に悪用され、未認証の第三者が最終的にターゲットデバイスを完全に制御する恐れがあります。

JPCERT/CCおよび関連機関からの推奨対応

JPCERT/CCおよび米国CISA（Cybersecurity and Infrastructure Security Agency）は、以下の対応を強く推奨しています。

• 最新バージョン（10.2.1.14-75sv以降）への早急なアップデート

• 管理画面へのアクセスログや認証情報の確認・異常検知の強化

• 必要に応じた機器のフォレンジック調査の実施

• ファイアウォール・VPNゲートウェイの設定見直し

米国では、CISAが本脆弱性を「既知の悪用脆弱性（KEV）カタログ」に追加しており、5月22日までにパッチ適用を義務付けています。

watchTowr Labsによる実証内容とリスク

セキュリティ企業watchTowr Labsは、以下のような攻撃シナリオを確認しています。

1. CVE-2024-38475を用いて管理画面へ不正アクセス

2. セッションハイジャックにより認証トークンを奪取

3. CVE-2023-44221を利用して“nobody”権限で任意コマンド実行

さらに、PoCコードが一般公開されたことで、悪意ある攻撃者による悪用リスクが急速に高まっています。

関連記事

期限切れの悪意のあるドメインを利用して、4,000件以上のバックドアへ侵入 SonicWall SMAに深刻な脆弱性、管理者セッションの乗っ取りやリモートコード実行のリスクも トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Veeamでリモートコード実行が可能な脆弱性、早急なパッチ適用を(CVE-2025-23120) Fortinetの脆弱性（CVE-2024-55591,CVE-2025-24472）を狙うサイバー攻撃が国内でも発生-JPCERT TP-Linkのルーター Deco BE65 Proに脆弱性、ファームウェアの更新を推奨(CVE-2025-32107) WPS Officeで危険度の高い脆弱性 東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査

投稿者：三村

セキュリティ対策Labのダークウェブの調査から執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)や脆弱性の営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。