一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月12日、SonicWall製SMA100シリーズにおける複数の脆弱性(CVE-2023-44221、CVE-2024-38475)を組み合わせた攻撃について発表した。影響を受けるシステムは以下の通り。
・CVE-2023-44221の影響を受けるバージョン
SMA 100 Series 10.2.1.9-57svおよびそれ以前のバージョン
(SMA 200、210、400、410、500vが影響を受ける)
・CVE-2024-38475の影響を受けるバージョン
SMA 100 Series 10.2.1.13-72svおよびそれ以前のバージョン
(SMA 200、210、400、410、500vが影響を受ける)
SonicWallは現地時間4月29日に、SMA100シリーズにおける複数の脆弱性に関するアドバイザリ(SNWLID-2023-0018、SNWLID-2024-0018)を更新し、OSコマンドインジェクションの脆弱性(CVE-2023-44221)と、Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2024-38475)が悪用された可能性があるという情報を追記している。
watchTowr Labsは現地時間5月2日に、上記2つの脆弱性を組み合わせることで、遠隔の第三者が任意のコマンドを実行できることを解説したブログ記事を公表している。同記事には、脆弱性悪用に関する詳細な解説に加え、脆弱性の実証コード(Proof-of-Concept)も記載されており、今後同脆弱性を悪用する攻撃の増加が懸念されるという。
JPCERT/CCでは、本脆弱性の影響を受ける可能性がある製品の国内での稼働を確認しており、当該製品を使用している場合は、対策の実施と機器が侵害されていないかどうかの調査の実施を検討するよう呼びかけている。
