製品に関する重要なお知らせ: SMA 1000シリーズに複数の脆弱性

概要

  • CVE-2026-15409:サーバーサイドリクエスト偽造 – CVSSスコア:10.0(重大)
  • CVE-2026-15410:リモートコード実行 – CVSSスコア:7.2(高)

SonicWall Secure Mobile Access 1000シリーズ12.4.3および12.5.0のファームウェア(下記の影響のあるバージョンを参照)はこの脆弱性の影響を受けます。


重要: これらの脆弱性は実際のインターネットッ環境で積極的に悪用されていることが確認されています。

この脆弱性は、他のSonicWall製品で報告されている脆弱性とは無関係です。

製品への影響

影響のある製品とそのバージョンについては、以下の表をご覧ください。

影響のある製品

影響のあるバージョン

SMA 1000 (6210, 7210, 8200v & CMS – すべてのハイパーバイザ)

 

pform-12.4.3-03245, 12.4.3-03387, 12.4.3-03434

pform 12.5.0-02283, 12.5.0-02624, 12.5.0-02800

 

SMA1000:AMC/CMCでのホットフィックスバージョンの確認方法

修復

影響のある製品

影響のあるバージョン

修正バージョン

SMA 1000 (6210, 7210, 8200v & CMS – すべてのハイパーバイザ)

pform-12.4.3-03245, 12.4.3-03387, 12.4.3-03434

pform 12.5.0-02283, 12.5.0-02624, 12.5.0-02800

pform-12.4.3-03453 および以降のバージョン

pform-12.5.0-02835 および以降のバージョン

影響のあるバージョンでSMA1000アプライアンス(仮想・物理)を展開しているすべての組織は、以下のことを実行しなければなりません。 

  • 最新のホットフィックスバージョンにアップグレードしてください – https://www.mysonicwall.com で利用可能
  • システムの徹底的な法医学的分析を行い、侵害の兆候(IoC)が存在するかどうかを判断してください
  • システムにIOCが存在する場合:
    • ハードウェアの再イメージ化(re-image)や仮想の再展開(Re-deploy)
    • ユーザーおよび管理者パスワードの変更
    • TOTPトークンのリセット

注:設定バックアップは、バックアップが12月のホットフィックス(12.4.3-03245 および 12.5.0-02283)以前のバージョンの時に取得したものを取得してください。12月のホットフィックス前の設定バックアップが存在しない場合は、改ざんされていないかを慎重に監査することが推奨されます。

侵害の痕跡

  • extraweb_access.log – http 200ステータスの以下へのリクエスト:
    • /_api_/login
    • /__api__/logout
  • extraweb_access.log – httpステータス101の疑わしいホストパラメータを含む/wsproxyへのリクエスト
  • ctrl-service.log – パストラバーサル名を含む「ホットフィックス除去」を含むエントリ
  • /var/lib/unit/conf.json - 以下のルートを含みます:
    • /__api__/login
    • /__api__/logout

注:これらの指標の特定方法や、この脆弱性に関するその他の質問については、サポートへのお問い合わせを通じてSonicWallサポートのケースの作成をしてください。

関連情報

  • Previous Alert
    Security Advisory: Firmware Update Required — Gen 6, Gen 7, and Gen 8 Firewalls
    Read More