SMA100シリーズ 製品のルートキットおよびその他の重大な脆弱性への対応に関する緊急アドバイザリー

適用対象: SMA 100 シリーズ物理アプライアンスおよび仮想アプライアンス (SMA 210、410、500v)

* SMA200, SMA400製品は、2025年6月で製品ライフサイクル終了となっていますが、本通知に関しては対象となります。
Date: 2025 年 7 月
重要度: Critical (multi-vector) 推奨ファームウェアバージョン: 10.2.2.1-90sv 以上

CVE の情報: 

CVE-2024-38475 (2024 年 12 月公開。アクティバな悪用 - セッションハイジャックが確認されています。)

CVE-2025-40599 (現在悪用-認証されたファイルアップロードされている兆候は確認できていません。)

特定された脅威： OVERSTEP (ユーザーモードルートキット)

脅威アクター: UNC6148

情報源: Google Threat Intelligence Group (GTIG)、Mandiant を含む

参照アドバイザリ: SNWLID-2024-0018(英語)

概要

米Mandiant社を含むGoogle Threat Intelligence Group（GTIG）は、SonicWall の SMA 100シリーズアプライアンスを標的としたアクティブな悪用キャンペーンを確認しました。これらの脅威には以下が含まれます：

• セッションハイジャックを可能にする CVE-2024-38475（2024年12月公開）の悪用
• 永続的かつステルス的なユーザーモードルートキットである OVERSTEP の展開
• パッチを適用したシステムへのアクセスを回復するために、過去に盗まれた管理者認証情報および OTP シークレットの使用

さらに、認証された任意のファイルをアップロードされる脆弱性 CVE-2025-40599 も公開されています。現在のところ、積極的な悪用の証拠はありませんが、GTIGはこれを潜在的なリスクとして強調しており、SonicWallはお客様に以下の予防措置を講じることを強く推奨しています。

脅威の詳細

OVERSTEP ルートキット

• アクセスを維持するためにブートプロセスを変更
• 認証情報と OTP シークレットを盗む一方で、ファイルとアクティビティを隠す
• 検出を回避するためにログエントリを削除
• 完全に除去するためには、システムのクリーンな再構築が必要

CVE-2024-38475 - パストラバーサル & セッションハイジャック

ステータス: アクティブな悪用を観測しています。

• 機密セッションファイルへの不正(認証されていない）アクセスが可能
• 管理者セッションの乗っ取りを助長
• ファームウェアバージョン 10.2.1.14-75sv で解決済み。

CVE-2025-40599 - 認証されたファイルアップロード (RCE: Remote Code Execution の可能性)

ステータス: 本アドバイザリ時点では悪用されていない

• 悪用するためには、管理者権限を(不正に)取得する必要があります。
• 任意のファイルのアップロードが可能で、リモートでコードが実行される可能性がある
• ファームウェアバージョン 10.2.2.1-90sv で解決済み

必要な措置

1. ファームウェアを直ちにアップグレードする
   SMA 100 シリーズデバイスがすべて動作していることを確認してください： ファームウェアバージョン10.2.2.1-90svまたはそれ以降
   このバージョンには、脆弱性の修正パッチとセキュリティの改善パッチが含まれています。最新のファームウェアはMySonicWall.comからダウンロードしてください。
2. SMA 500v の交換と再構築
   SMA 500v を実行している組織の場合、侵害が確認されなくても、予防措置として仮想アプライアンスの完全な交換と再構築を実行することを SonicWall は強く推奨します。この推奨は、OVERSTEPルートキットのステルス性、クレデンシャルとOTPの盗難リスク、および以前に侵害されたアプライアンスがパッチを適用したにもかかわらず依然として脆弱である可能性に基づいています。
   

   クリーンな再構築を実行する手順:

   • (オプション）社内で確認する必要がある場合のみ、仮想イメージのバックアップを保持
   • 現在のSMA 500v仮想マシンをパワーオフし、接続されているすべての仮想ディスクとスナップショットを含めて削除
   • 新しいイメージを展開します:
     • 最新のクリーンな仮想アプライアンスイメージをMySonicWall.comからダウンロードする
     • 展開前にイメージのchecksumを確認する
     • 展開したイメージがファームウェアバージョン10.2.2.1-90sv以上にアップグレードされていることを確認する
   • 構成を手動で再構築する:
     • 古い構成やバックアップを再利用しない
     • すべてのユーザーと管理者のパスワードをリセット
     • 以前のアプライアンスに保存されていたすべての証明書を失効させ、再発行
     • すべての OTP バインディングをリセット（次のセクションを参照）
       このプロセスにより、不正な変更や以前の侵入による永続的な脅威が完全に排除されます。
3. 全ユーザーの OTP バインディングをリセットする
   GTIG の報告によると、攻撃者は以前の侵入時に盗んだ Mobile AppでのTOTP シードを再利用しています。再アクセスを防ぐには:
   
   • ユーザ > ローカルユーザ で 各ユーザの設定画面を開きます。
   • ログインポリシー の アプリ情報の消去をクリックします。
   • ユーザは、次回接続時、Google AuthenticatorなどのAuthenticatorアプリの関連付けを再度行う作業が発生します。
4. ハードニング対策の適用
   SonicWallは、すべてのSMA 100シリーズの導入において、以下のプラクティスを強く推奨します：
   
   • X1（WAN側）インターフェースのリモートからの管理アクセスを無効にする。X0のみで運用している場合は、X1も使用する構成に変更する事を強く推奨します。
   • すべてのユーザーに対して多要素認証（MFA）を強制する。
   • 全てのパスワードをリセットします。管理者ユーザだけでなく、ローカルユーザや、ADやLDAPユーザのパスワードも変更してください。
   • 全てのポータルで、Web Application Firewall (WAF) を有効化してください（ライセンスが必要となります）。
   • プライベートキーを含めSSL証明書を新しいものに置き換えてください。。
   • 通常でないアクセスや不正アクセスの兆候がないか、SMA装置、上位のファイアウォールやルータ、内部リソースのログやアクセス履歴を監視してください。

潜在的な不正アクセスの兆候

• SMAで特定の時間帯のログが表示されていない、あるいは、ログが削除されている。
• 装置の予期せぬ再起動
• 継続的に持続的または原因不明の管理者セッション
• ユーザーの承認なしに行われた設定の変更
• パッチ適用またはリセット後の繰り返しアクセス

これらの兆候のいずれかが存在する場合、完全な再構築（初期化と手入力での再設定）とパスワードの再設定、Mobile AppでのTOTP(Token base one time password)の初期化が必要です。上記の侵害の兆候を継続的に監視してください。本体のログだけではなく外部 syslog コレクターを導入し、これらの状態の監視を確実に行える方法を実施してください。 (SMA 100 Series Logging: Storage and Rotation ).

追加の情報

• GTIG Blog: OVERSTEP Rootkit Campaign
• SonicWall Advisory SNWLID-2024-0018
• Firmware Downloads – MySonicWall
• SMA 100 Administrator Guide

サポート＆コンタクト

サポートが必要な場合、または装置の異常な動作を確認した場合:

• SonicWallサポートへのお問い合わせください。
• SMA の ログ情報、TSR、その他のログ情報、および実際に観測した不正な兆候についての記述をお願いします。
  • How to Download TSR