メディア
Microsoft 365
生成AI
クラウドERP
ゼロトラスト
HRTech
PC管理
RPA BANK
課題から探す
カテゴリから探す
記事一覧
ITキャパチャージ

悪用の可能性が高いVPNの脆弱性 ベンダーが大丈夫だと断言した理由は

ランサムウェアやフィッシング以外にも注目を集めているサイバー攻撃がある。VPN機器の脆弱性を狙う攻撃だ。

» 2025年03月26日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 SSL-VPN機能がサイバー攻撃にさらされている。SSL-VPNには脆弱(ぜいじゃく)性が多数見つかっており、ユーザーはベンダーが提供したパッチを即座に適用しなければならない。2024年9月に警察庁サイバー警察局が発表した「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」でも「悪用の危険性の高い重大なぜい弱性の例」として2社の社名と製品名を挙げた。

 2025年に入り、SonicWallの「SonicOS」で見つかった脆弱性が波紋を広げている。

悪用の可能性が高いVPNの脆弱性

 SonicWallは2025年1月7日に勧告を発表して、同社の「SonicOS」に存在する脆弱性「CVE-2024-53704」(注1)のパッチを提供した。攻撃者が遠隔から認証を回避可能になる危険な脆弱性だ。この脆弱性は、SSL-VPNの認証機構における不適切な認証の問題に起因する。

 SonicWallはこれで問題が収束したと考えていたようだ。しかし、全ユーザーが即座にパッチを適用することは通常はない。セキュリティコンサルティング企業Bishop Foxの研究者は同年2月の初めに概念実証(PoC)を公開して危険性を示した(注2)。サイバーセキュリティ企業Arctic Wolfの研究者は同年2月10日週に、攻撃者がこの脆弱性を標的にしている証拠を確認したと警告した。

 2025年2月18日、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は(注3)、すでに公表されて悪用の事実が認められる脆弱性をまとめたKEVカタログに「CVE-2024-53704」を追加した。Arctic Wolfの報告にお墨付きを与えた形だ。

 そもそもの始まりはサイバーセキュリティ企業Computest Securityの研究者がこの脆弱性を公表したことに始まる(注4、注5)。当時、SonicWallは当初「この脆弱性が実際に悪用されている事実を認識していない」と述べていた。

 一方、Bishop Foxの研究者はアクティブな状態にあるSSL-VPNのセッションを攻撃者が乗っ取って、ネットワークに不正アクセスする方法を示す技術的な詳細を公開した(注6)。

 Bishop Foxによると、攻撃者はSSL-VPN機能「Virtual Office」でユーザーのブックマークを閲覧したり、同じく「NetExtender」のクライアントが設定したプロファイルを取得したり、プライベートネットワークへアクセスしたり、その他の不正な活動を実行したりできるという。

 Arctic Wolfのステファン・ホステトラー氏(主任脅威インテリジェンス研究者)は、「脆弱性について現在判明している限り、攻撃者は、多要素認証(MFA)を含む認証を回避し、サービスの可用性を妨害したり、機密情報を漏えいさせたりできる」と述べた。

SonicWallの対応はどうなのか

 それでもSonicWallは「この脆弱性に関連する悪用の報告はない」と述べている。

 一方、同社は2025年2月10日の週に発表した声明を改めて強調し、顧客やパートナーに対してファームウェアのアップグレードを促している。

 サイバーセキュリティ企業Rapid7の脆弱性インテリジェンス部門に所属するケイトリン・コンドン氏(ディレクター)は「脆弱性が実際に悪用されているという報告は認識しているものの、自社の本番環境で悪用に成功した例はない」と述べた。

 Arctic Wolfの研究者たちによると、ランサムウェア攻撃者の「Akira」がSonicWallのデバイスのSSL-VPNのアカウントを標的として、攻撃のための初期アクセスを得る手段として利用した事実をこれまでに確認したという(注7)。

 2025年1月にSonicWallは、攻撃者が同社のリモートアクセスソリューション「SMA 1000」」のアプライアンスに存在する重大な脆弱性「CVE-2025-23006」を標的にしたと警告した(注8)。

出典:SonicWall authentication flaw under threat of active exploitation(Cybersecurity Dive)
注1:CVE-2024-53704 Detail(NIST)
注2:SonicWall CVE-2024-53704: SSL VPN Session Hijacking(Bishop Fox)
注3:CISA Adds Two Known Exploited Vulnerabilities to Catalog(CISA)
注4:Vulnerability List(SonicWall)
注5:SonicWALL NSv Authentication Bypass Vulnerability(Trend Micro)
注6:SonicWall CVE-2024-53704: SSL VPN Session Hijacking(Bishop Fox)
注7:Arctic Wolf Observes Authentication Bypass Exploitation Attempts Targeting SonicWall Firewalls (CVE-2024-53704)(Arctic Wolf)
注8:SonicWall warns hackers targeting critical vulnerability in SMA 1000 series appliances(Cybersecurity Dive)

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。