17万8千超のSonicWall製ファイアウォールがDoSに脆弱、潜在的にはRCE攻撃受ける恐れも | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 17万8千超のSonicWall製ファイアウォールがDoSに脆弱、潜在的にはRCE攻撃受ける恐れも

Threat Report

Silobreaker-CyberAlert

17万8千超のSonicWall製ファイアウォールがDoSに脆弱、潜在的にはRCE攻撃受ける恐れも

佐々山 Tacos

佐々山 Tacos

2024.01.16

17万8千超のSonicWall製ファイアウォールがDoSに脆弱、潜在的にはRCE攻撃受ける恐れも(CVE-2022-22274、CVE-2023-0656)

(情報源:Bishop FoxBleepingComputer

管理インターフェースがインターネットに接続されているSonicWallの次世代ファイアウォール(NGFW)233,984台のうち、 CVE-2022-22274およびCVE-2023-0656のいずれか、あるいは両方に脆弱なものが178,000台超(全体の76%)存在すると、Bishop Foxの研究者が報告。両脆弱性はDoSを引き起こすものだが、潜在的にはリモートコード実行にもつながる恐れがあるという。

悪用は未確認も、利用可能なPoCエクスプロイトが存在

CVE-2022-22274は2022年3月、CVE-2023-0656は2023年3月に開示されており、いずれも認証不要のスタックベースのバッファオーバーフローと説明されている。Bishop Foxによれば、両者は同一の脆弱なコードパターンに起因しており本質的には同じ問題だが、それぞれ別のHTTP URIパスで悪用が可能になっているという。SonicWallのPSIRTはこれらの脆弱性が実際の攻撃で悪用された認識はないとしているが、CVE-2022-22274に関しては少なくとも1件のPoCエクスプロイトがネット上に出回っていることは注目に値する。

RCE不能でもファイアウォールを無効化できる恐れ

SonicOSはデフォルト設定だとクラッシュ後に再起動するようになっているが、短時間に3回クラッシュが起こるとメンテナンスモードに入り、通常の機能を回復するためには管理者によるアクションが必要になる。これを利用することで、攻撃者はたとえ標的アプライアンス上でコードを実行できなかったとしても、CVE-2022-22274およびCVE-2023-0656を悪用してメンテナンスモードを引き起こし、ファイアウォールを無効化できる可能性がある。

大規模悪用の場合、影響は深刻か

このため、両脆弱性を利用した攻撃が広範に行われれば、その影響は深刻なものになると考えられる。また、SonicWall製アプライアンスはこれまでにサイバースパイ攻撃や複数のランサムウェアグループ(HelloKittyやFiveHandsなど)による攻撃で狙われてきた実績がある上、また政府機関や世界有数の大企業を含む、215以上の国と地域の50万以上の組織が同社の製品を使用していることなども懸念材料と言える。

管理者には、SonicWall NGFWアプライアンスの管理インターフェースがネット接続されていない状態を確保し、できる限り早く最新のファームウェアバージョンへアップグレードすることが推奨されている。

1月16日: その他のサイバーセキュリティ関連ニュース

WordPressサイト7,100件以上がBalada Injectorに感染 脆弱なプラグインの使用が原因(CVE-2023-6000)

The Hacker News – January 15, 2024

マルウェア「Balada Injector」を使った最新の活動が検出され、7,100件以上のWordPressサイトがこれに感染していたことが判明した。侵害されたのはいずれも、CVE-2023-6000に対して脆弱なプラグイン「Popup Builder」を使用していたサイト。CVE-2023-6000は格納型XSS攻撃を可能にするCVSSスコア8.8の脆弱性で、バージョン4.2.3で修正されている。この脆弱性を悪用することで、攻撃者は任意のプラグインをインストールしたり、不正な管理者ユーザーを新たに作成したりするなど、標的のサイトでログイン済みの管理者が行えるすべてのアクションを実行できるようになる可能性がある。

Balada Injectorを使用したキャンペーンは、脆弱性のあるWordPressプラグインを悪用してサイトを感染させ、感染したサイトへの訪問者を偽の技術サポートページや、宝くじに当選したと偽るサイト、偽のプッシュ通知にリダイレクトするよう設計されたバックドアを注入するもので、2017年から実施されている。また、これまで100万件以上のサイトが侵害されてきたと言われている。

米クラウドプロバイダーにクリプトマイニングマルウェアを感染させたウクライナ人が逮捕

The Record – January 16, 2024

ウクライナ警察は先週、米国の「著名な」クラウドサービスプロバイダーのサーバーにクリプトマイニングマルウェアを感染させた容疑で29歳のウクライナ人を逮捕したと発表した。このハッカーは過去2年間で200万ドル以上の仮想通貨を不正マイニングしていたとみられる。

影響を受けたクラウドプロバイダーについて、同警察は有名な米国企業だと公表したものの、名称を明らかにしていない。このクラウドプロバイダーは2023年1月、侵害されたユーザーアカウントに関する情報をユーロポールに提供。これがウクライナ当局に共有され、三者の「数か月にわたる協力」の末に容疑者逮捕に至った。

クリプトマイニングを目的にクラウドサービスが侵害されるケースはこれが初めてではなく、昨年5月初めには、金銭目的でアマゾンウェブサービス(AWS)を攻撃したハッカーグループが観測されている。このグループの攻撃は、流出しているAWSアクセス認証情報を見つけるところから、あるいは、こうした情報を入手するためにGitLabなどのサービスをハッキングするところから始まっていたとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ