緊急のセキュリティ通知: ファームウェアーバージョン8.xで動作しているSRA/SMA製品の重大なリスク

First Published:07/14/2021 Last Updated:07/15/2021

SonicWall は、信頼できる第3者機関との共同作業の過程において、パッチが適用されていないサポート終了のファームウェアバージョン8.x及びそれ以前のバージョンで稼働しているSecure Mobile Access(SMA)100シリーズ製品(SMA200/210/400/410/500v)およびSecure Remote Access(SRA)全製品を積極的に標的とするしている脅威アクター(ハッキングやサイバー攻撃者を含む)を検知しました。この悪用は、新しいバージョンのファームウェアにパッチが適用されている既知の脆弱性を標的としています。

SonicWall PSIRTチームは、現時点で8.xファームウェアを使用している組織では、下記情報を確認いただき早急に必要なアクションをとっていただくよう強くお願いをいたします。

  • このお知らせは、SMA100製品及び旧製品群のSRA製品を対象としています。製品のライフサイクルについては、こちらの情報を参照ください。
  • SMA1000製品は対象ではありません。
  • 対象製品で、9.x以上もしくは10.xファームウェアを使用している場合は、引き続き、SonicWallからのベストプラクティスに準拠いただくようお願いいたします。
    • ファームウェアを最新にアップグレードする。9.xの場合は、9.0.0.10にアップグレードしてください。10.xの場合は、10.2.0.7以上のファームウェアバージョンにアップグレードしてください。ただし、9.xバージョンは本年10月末までのサポート期間となりますので、速やかに10.2.0.7以上のバージョンにアップグレードを検討していただくようお願いします。
    • MFA(多要素認証)を有効にする。

影響

お客様のSRA/SMA100製品で、これらの脆弱性の軽減のためのアクションをとられなかった場合、ランサムウェアアタックの標的になる差し迫ったリスクがあります。


解決方法

プロダクトライフサイクルの終了(EOL)したSRA製品及びファームウェアバージョン8.x以下のバージョンのSMA製品では、以下のガイダンスのアクションをとってください。

  • SRA 4600/1600 (EOL 2019)
    • ネットワークから切り離してください。 
    • 今回ターゲットとなっているのはファームウェアバージョン8.xですが、9.xバージョンの場合も、すでにパッチが適用されていない状態ですので、同様の対応お願いします。
    • パスワードをリセットしてください。
  • SRA 4200/1200 (EOL 2016)
    • ネットワークから切り離してください。
    • パスワードをリセットしてください。
  • SSL-VPN 200/2000/400 (EOL 2013/2014)
    • ネットワークから切り離してください。 
    • パスワードをリセットしてください。

  • SMA 400/200(EOL 2024年6月予定) 
    • 直ちに10.2.0.7-34 もしくは 9.0.0.10 にアップグレードしてください。ただし、9.xバージョンは本年10月末までのサポート期間となりますので、速やかに10.2.0.7以上のバージョンにアップグレードを検討していただくようお願いします。
    • パスワードをリセットしてください。
    • MFAを有効にしてください。

ファームウェアバージョン8.xを標的とした今回の不正な活動の対象外ではありますが、下記の最新製品についても、最新のバージョンでの運用を行い既知の脆弱性の軽減を行ってください。

  • SMA 210/410/500v 
    • 現在ご利用のファームウェアバージョンが9.x:  9.0.0.10-28sv もしくはより最新のバージョンに直ちにアップデートしてください。ただし、9.xバージョンは本年10月末までのサポート期間となりますので、速やかに10.2.0.7以上のバージョンにアップグレードを検討していただくようお願いします。
    • 現在ご利用のファームウェアバージョンが10.x: 10.2.0.7-34sv もしくはより最新のバージョンに直ちにアップグレードしてください。

重要: 現在古いSRA製品をご利用いただいている場合、使用を続けることはランサムウェアにより悪用される結果となる場合があります。


軽減策

影響のある8.xファームウェアを実行するプロダクトライフサイクルの終了した製品は、一時的な緩和策を過ぎています。このファームウェアまたは保守終了デバイスを継続して使用することは、アクティブなセキュリティリスクです。

  • 9.0.0.10または10.xファームウェアにアップグレードできない保守終了デバイスをお持ちのお客様に移行パスを提供するために、2021年10月31日まで無料の仮想SMA 500vを提供しています。これにより、積極的にメンテナンスされている製品に移行するのに十分な時間が提供されます。
  • このユーザー無制限のSMA500vは、デバイスがファームウェア9.0.0.10または10.xをサポートしていない8.xファームウェアを使用しているお客様向けに事前登録されます。 SMA 500vは、mysonicwall.comアカウントに「SMA_SRA8X_Migration_500v」という名前で表示されます。このSMA500vは、電話サポートなしで提供されます。したがって、SonicWallコミュニティのSMAスレッドにあるSonicWallコミュニティスレッド(英語)で質問の回答を探すことができます。

追加の緩和策として、SMA /SRAデバイス及び同じ認証情報を利用している、その他の装置やシステムの全ての認証情報をリセットしてください。 また、MFA(多要素認証)の利用も強く推奨いたします。

Mandient社及びその脅威リサーチチームの本件についてのご協力に感謝いたします。

Trace:408818f52f0a91202806a0d2ca396771-71