SMA100製品の未知の脆弱性への攻撃

10.2.0.6/9.0.0.10へアップグレードする前に、必ずこちらの情報を確認ください。 

SMA100: 10.2.0.6 もしくは 9.0.0.10 にアップグレード後GUIにアクセスできない

SMA100: 10.2.0.6へアップグレード後アプリケーションオフロード経由でページが表示されません

本通知は、日本人向けに、英語原文の案内内容のより正確な理解をサポートすることを目的に公開しています。SonicWallからの公式な案内に関しては英語原文を参照ください。

<日本時間(JST): 2021年3月15日9:00の更新情報>

大変長くお待てせし申し訳ございませんでした。日本語版10.2.0.6−32SVがリリースされました。10.xバージョンのファームウェアをご使用しているお客様は、前回お知らせいたしました下記の内容をご確認いただきアップグレードをお願いいたします。

CAUTION: アップグレード実施前に必ずこちらの情報をご確認ください。

また、SonicWallでは、8.xファームウェアをご利用のお客様、9.xファームウェアをご利用いただいているお客様にも10.2.0.6（もしくはより最新のバージョン）へのアップグレードを強く推奨いたします。

8.xファームウェア、9.xファームウェアから10.2.0.6へのアップグレード時の注意点についてはこちらの情報を参照ください。

9.0.0.10は、2021年4月30日でサポート終了を予定していますのでご注意ください。

<米国中部時間(CST): 2021年2月19日14:00の更新情報>

CAUTION: 10.2.0.6-32v、9.0.0.10−28sv へのアップグレードを実施前に、必ずこちらの情報を確認ください。

2月3日のお知らせの追加情報をお知らせいたします。

SonicWallでは、SMA100製品のセキュリティ強化のため追加の調査を実施し、SMA100製品（SMA200/210, SMA400/410 およびSMA500v)用の10.xおよび9.xファームウェアの更新のファームウェアをリリースしました。

新しいSMA 10.2 ファームウェアには以下の修正が含まれます：

• 内部のプログラムコードの監査で判明した追加のセキュリティ強化
• 以前のバージョンで判明した問題の修正で2月3日にリリースされた10.2.0.5に含まれていないもの
• 一般的なパフォーマンスの改善
• 10.2.0.5に含まれている今回発見されたゼロディ脆弱性の修正はこのリリースにも含まれています。

新しいSMA 9.0 ファームウェアには以下の修正が含まれます：

• 内部のプログラムコードの監査で判明した追加のセキュリティ強化

新しいファームウェアへのアップグレードが必要なSMA100製品:

• 物理アプライアンス: SMA 200, SMA 210, SMA 400, SMA 410
• 仮想アプライアンス: SMA 500v (Azure, AWS, ESXi, HyperV)

現在10.xもしくは9.xバージョンのファームウェアでSMA100製品をご利用中のすべてのお客様は、速やかに今回の新しいバージョンにバージョンアップをお願いします。

すでに2月3日にリリースされた10.2.0.5-29sv を適用済みのお客様も、SMA 10.2.0.6-32sv に速やかにアップグレードをお願いします。まだ、10.2.0.5-29sv を適用いただいていないお客様は、直接10.2.0.6-32sv へのアップグレードが可能です。

アップグレード方法：

• 新しいファームウェアはMySonicWall(https://www.mysonicwall.com)より入手可能です。
• 10.x バージョンをご利用中のお客様は、10.2.0.6-32sv をご利用ください。
• 9.x バージョンをご利用中のお客様は、9.0.0.10-28sv をご利用ください。
• 両方のバージョンとも、有効なサポートライセンスの有無によらず、対象のSMA100製品をご利用中のすべてのお客様がダウンロード可能です。
  アップグレード方法の詳細は、"米国中部時間(CST): 2021年2月3日14:00更新"の記載を参照ください。
• 10.2.0.5−29svのアップグレードの案内同様、Webインターフェース（管理GUIおよびVirtual Office) でSMA100製品にログインした可能性のある全てのユーザのパスワードをリセットしてくだださい。ただし、10.2.0.5−29sv適用時に実施済みの場合は不要です。
• 引き続き重要な安全対策として、多要素認証(MFA)を使用してください。MFAは、資格情報の盗難に対する非常に有効な安全対策で、効果的なセキュリティ対策が実施されていることを示す指標となります。MFAは、アプライアンスで直接有効にするか、組織のディレクトリサービスで有効にするかに関係なく効果的です。

<日本時間(JST): 2021年2月9日8:00更新>

米国時間2021年2月8日付で日本語パッチファームウェア10.2.0.5−29svがリリースされております。

対象機種は、SMA200, 210, SMA400, 410 及びSMA500v(Hyper-V、ESXi、AWS、Azure)です。

SonicWallは、10.xバージョンのSMA100製品をご利用いただいている全てのユーザが、直ちにこのパッチにアップグレードすることを強く推奨します。

その他の注意事項については、英語パッチに関する以下の記述と同等ですので、必ず全ての内容をご確認ください。

＊このパッチファームウェアは、有効なサポートライセンスの有無によらず、全ての10.xバージョンのSMA100製品ユーザがご利用可能です。

<米国中部時間(CST): 2021年2月3日14:00更新>

SonicWallは、10.xファームウェアのSMA100製品のZero Day脆弱性のパッチを含むファームウェア10.2.0.5−29sv(英語)をリリースしたことをお知らせします。10.xファームウェアのSMA100製品ご利用中の全てのお客様は、エクスプロイトの可能性のあるSMA100製品を保護するため速やかにこのパッチファームウェアを適用してください。

このリリースの対象となる製品：

• 物理アプライアンス: SMA 200, SMA 210, SMA 400, SMA 410
• 仮想アプライアンス: SMA 500v (Azure, AWS, ESXi, HyperV)

アップグレード後に、重要な追加のステップがありますので以下の内容についてご確認ください。 

脆弱性情報: 
このパッチファームウェアは、1月31日、2月1日にNCC GroupよりSonicWallに報告のあった脆弱性(PSIRT Advisory ID SNWLID-2021-0001)を解決します。この脆弱性を悪用することにより、管理者権限アクセスを取得しリモートでコード実行が可能になります。

推奨のアップグレードステップ：

SNWLID-2021-0001により、資格情報が暴露される可能性がありますので、10.xファームウェアのSMA100製品ユーザは直ちに以下の対応をお願いします。

1.  www.mysonicwall.com より、SMA10.2.0.5-29svを入手し、10.0ファームウェアで稼働しているSMA100製品をアップグレードしてください。
   - このファームウェアは、サポートサービスライセンスの有無によらず、全てのSMA100製品ユーザが入手可能です。
   - SMA100製品ファームウェアのアップグレード方法は、物値アプライアンス:こちらのKB(英語)/仮想アプライアンス:こちらのKB(英語) を参照ください。
2. Webインターフェース（管理GUIおよびVirtual Office) でSMA100製品にログインした可能性のある全てのユーザのパスワードをリセットしてくだださい。 
3. 安全対策として、多要素認証(MFA)を有効にしてください。MFAは、資格情報の盗難に対する非常に有効な安全対策で、効果的なセキュリティ対策が実施されていることを示す指標となります。MFAは、アプライアンスで直接有効にするか、組織のディレクトリサービスで有効にするかに関係なく効果的です。

NOTE: Hyper-V, ESXi, Azure, AWS用のSMA500vパッチファームウェアはまもなくMySonicWallからダウンロード可能となります。

追加のWAFを利用した対策：
直ちにこのパッチへのアップグレードができないお客様については、引き続きこの脆弱性の影響を最小化するために、Web Application Firewall (WAF)を使用可能です。

こちらのKB（英語）を参照しWAFを有効化してください。

SonicWall は全ての登録済みの10.xファームウェアのSMA100製品に対し無償で60日間のWAFライセンスを付与いたします。 

SonicWallでは検証環境においてWAFを利用することにより、この脆弱性に対する攻撃の対策の効果を確認していますが、長期的パッチの適用が不要となるものではありません。WAFによる対策は、パッチを適用できるようになるまでの限定的な安全対策としてください。

その他の注意点：

• SonicWallでは、今のところ、装置が攻撃されたかどうかユーザが判断することができる何らかの分析／解析データが存在するかどうか判明していません。今後その点も含め追加で判明したことがある場合は、更新情報でお知らせいたします。
• 脆弱性のある10.xファームウェアのSMA100仮想アプライアンスのイメージは、AWSおよびAzureのマーケットプレイスから削除しました。パッチを含む安全なSMA100仮想アプライアンスのイメージを速やかに再掲載の手続きを進めます。再掲載の承認手続きは数週間かかる見込みです。すでにAWS、AzureでSMA500vをご利用の場合は、SonicWallの提供するパッチにより更新可能です。
• リリースノートは、ファームウェア同様 www.mysonicwall.com より入手可能です。

<米国中部時間(CST): 2021年2月3日6:00更新>

SonicWallのエンジニアリングチームでは、SMA100製品の今回のゼロディ脆弱性を塞ぐためのパッチの完成のために引き続き作業中です。現在の見通しでは米国太平洋標準時（PST）2月3日午後の完成を目指して準備中です。

パッチ完成までの間、下記で説明した Web Application Firewall (WAF)の機能を利用しこの脆弱性の保護を行ってください。

WAFの有効化方法(英語): https://www.sonicwall.com/support/knowledge-base/security-best-practice-for-configuring-web-application-firewall/210202202221923/

<米国中部時間(CST): 2021年2月2日23:00更新>

昨日お知らせした、SMA100製品の未知の脆弱性のパッチは、最終試験中で、現在の見通しでは米国太平洋標準時（PST）2月3日の早い時間にはリリースできるよう準備中です。 

パッチがリリースされるまでの間、10.xファームウェアのSMA100製品への攻撃を防御する追加の回避策を確認しました。試験の結果、SMA100製品ファームウェアに組み込まれたWeb Application Firewall (WAF)の機能により今回の脆弱性に対する攻撃を無効化する効果を観測しました。この記事（英語）に記載さた方法でWAF機能を有効化してください。

SonicWallでは、MySonicWallに登録されている全ての10.xファームウェアのSMA100シリーズに60日間のWAFライセンスを無償で付与をします。この60日間のWAFライセンスは、米国太平洋標準時（PST）2月2日中にMySonicWall上で自動的に付与いたしますので、機器よりライセンスの手動同期を行い適切な設定を行うことによりWAFの使用を開始することが可能です。

2月3日リリース予定のパッチは、この未知の脆弱性の決定的な解決方法となります。このパッチには追加のコード強化が施されていますので、利用可能になり次第速やかに適用をお願いいたします。

<米国中部時間(CST): 2021年2月1日2:30更新>

SonicWallでは、SMA100製品のファームウェアバージョン10.xにおいて、今まで確認されていなかった脆弱性があることを確認しました。この脆弱性は10.x以前のバージョンには影響はありません。

米国時間: 2021年1月31日(日)、SonicWall製品セキュリティインシデント対応チーム（PSIRT）は、NCCグループよりSMA100シリーズの潜在的な未知の脆弱性について通知を受けました。エンジニアリングチームにおいて、SMA 100シリーズ10.xコードでの重要な未知の脆弱性としての通知と確認し、SNWLID-2021-0001(英語)として追跡しています。

この報告に基づき調査した結果、今まで確認されていなかった脆弱性コードを確認し、現在、（米国時間）2021年2月2日中をめどに、この脆弱性のパッチを作成中です。この脆弱性はSMA200/210、SMA400/410、SMA500v仮想アプライアンスのファームウェア10.xのみ対象となります。

CAUTION: この段階で日本語版のパッチも利用可能かどうかについては未確認です。情報があり次第更新します。 

このパッチの作成、動作検証、リリース作業の間、対象製品をご利用中のお客様には以下の対処方法のオプションがあります。

1. SMA100の使用を続ける必要のあるお客様においては、このパッチが利用可能となるまでの間以下の対応をお願いします。
   - 多要素認証（MFA）を有効にする。この設定はパッチが適用可能になるまでの間、必須の設定となります。
   - Firmwareバージョン10.xのSMA100製品を利用したユーザパスワードのリセット。
2. SMA100製品のアップストリームに、Firewall製品が稼働している場合、SMA100製品への全てのアクセスをブロックする（Firewall内部での使用のみ可能）。
3. パッチが利用可能になるまでSMA100製品をシャットダウンする。
4. ファームウェアバージョン10.x以下のファームウェアを使用する。＊10.xの設定のバックアップを行った上で実施してください。
   重要：10.xから9.xに設定を引き継いでダウングレードすることは、動作保証範囲外となります。9.xのファームウェアを機器にアップロードして、工場出荷設定で起動してください。その後、バックアップしていた9.xの設定をロードするか、手動で1から設定し直すかのどちらかの選択となります。
   9.xでご利用いただく場合も、必ずセキュリティベストプラクティスの一環として多要素認証（MFA）をご利用ください。

すでに通知しております通り、SMA100製品以外のSonicWall Firewall製品、SMA1000製品、関連するVPNクライアントソフトウェアなどは、この問題の影響を受けません。

<2021年1月31日19:00更新>

(米国時間で)週末を迎え、SMA100製品の潜在的な未知(Zero Day)の脆弱性について引き続き調査を行なっておりますが、現在のところ未知の脆弱性の存在は確認できておりません。

一方で、お客様よりいただいているSMA100製品に関する情報流出の可能性のあるご報告についても順次分析を行っていますが、分析の完了しているケースはいずれも、過去に流出したユーザID/パスワードでのSMA100製品へのログインで発生しています。

SMA100製品は、リモートアクセス製品という性格から外部に晒されたシステムになりますが、適切な設定を行うことにより、新型コロナパンデミックのリモートワーク下において、不適切なアクセスに対するアラートを検出する役割でもあります。多要素認証(MFA)やEndpoint Control（EPC)と言った機能を利用することにより、不正アクセス攻撃を軽減すると共に、より明確に攻撃を炙り出し、かつ、防御することが可能となります。MFAとEPCは、単にSMA100だけで利用するのみではなく、一般的に推奨されるセキュリティプラクティスとして、企業全体で、メールやWebサービスなど全てのシステムでこれらの機能を有効にし、不正なアクセスを防衛することがとても重要です。

また、SonicWallでは、Shellshockエクスプロイトを利用したと思われる実証実験的なエクスプロイトコードや、このエクスプロイトにより侵害されたとするデバイスのスクリーンショットがソーシャルメディアに投稿されていることを認知しています。いずれについても、SonicWallでは、すでにShellshock攻撃を軽減するためのパッチを2015年にリリースしており、ソーシャルメディアに投稿されている実証実験エクスプロイトコードを利用した試験を実施した結果2015年以降にリリースされたバージョンでは効果がないことを確認しました。このことから、インターネットに接続されている装置においては常にパッチを適用して最新の状態に保つことが重要です。 

尚、SonicWallでは有償サポートの有無によらず、重要なセキュリティパッチリリースに関しては、全ユーザに利用可能としております。SMA 100製品に限らず、有償サポートライセンスの有無によらず、www.mysonicwall.comで最新の脆弱性修正ファームウェアをダウンロードできます。これらのアップデートを利用して、機器が最新の脆弱性に対応したファームウェアに準拠していることを確認してください。

SonicWallでは、引き続き調査、分析を続け、判明した内容はこのお知らせの更新にてお知らせします。

また、SonicWallでは多要素認証の設定方法を含む、セキュリティベストプラクティスのガイドを作成しました。セキュリティベストプラクティスガイドはこちら(英語)から参照いただけます。

<2021年1月26日9:00更新>

SonicWallは、ますます高度化するサイバー脅威から組織を安全に保つために設計されたサイバーセキュリティ製品、サービス、およびソリューションを提供します。サイバー防御の最前線では、政府や企業、特にそれらの組織に重要なインフラストラクチャとセキュリティ管理を提供する企業に対するサイバー攻撃が劇的に急増しています。

私たちSonicWallは、グローバルなビジネスや政府に対する継続的な攻撃について、お客様、パートナー、およびより広範なサイバーセキュリティコミュニティに対して透明性を保つことが非常に重要であると考えています。

最近、SonicWallでは、SonicWallセキュアリモートアクセス製品の高い確率で未知と思われる脆弱性を悪用する、高度なスキルを有する脅威アクター（ハッカーなど）による内部システムへの組織的な攻撃を特定しました。

SonicWall脅威分析チームの現在の分析状況は以下の通りです。

• この攻撃の対象（あるいは潜在的脆弱性）は、SMA100製品（SMA400/410、SMA200/210, SMA500v仮想アプライアンス) のみが対象となります。Firewall全製品、SMA1000シリーズ(SMA7200/7210、SMA6200/6210、SMA8200v仮想アプライアンス)、その他の製品は対象外です。
• この攻撃に対するはじめの分析段階で、SSLVPNクライアントソフトウェアであるNetExtenderの脆弱性の可能性について一部言及しましたが、現在の分析の結果NetExtenderソフトウェアは安全だと判断しました。

• 現在の解析状況では、NetExtenderクライアントを利用したSMA100製品への接続は安全にご利用を続けることが可能と思われます。NetExtenderからの接続の場合、この脆弱性を悪用されにくいと判断しました。

• この攻撃による脅威、影響については、引き続き調査を行っています。

この攻撃に対する効果的な予防策についても引き続き調査中ですが、SonicWallでは次の一般的なセキュリティのベストプラクティスを推奨します。

• 単純なユーザID/パスワードのみの認証に加え、証明書認証の併用、ワンタイムパスワードなどの多要素認証（MFA)を使用します。
  CAUTION: 現時点では、SMA 100製品をアクティブに使用している組織では、多要素認証（MFA)を使用する対策は重要です。 
  多要素認証（MFA)の設定方法はこちらのナレッジベース(英語)をご参照ください。
• 多要素認証（MFA)の使用に加え、GeoIP/Botnetフィルター、Endpoint Control（EPC)、ログオン／ログオフ時間の限定の機能を、SMA100製品のサービス環境に合わせて設定することを推奨します。
  GeoIP/Botnet(地域IP/ボットネット)フィルター: 管理者ガイドの364ページを参照ください。
  Endpoint Control(EPC): 管理者ガイドの55ページを参照ください。
  ログオン／ログオフ時間の限定: 管理者ガイドの153ページを参照ください。

SonicWallでは、今後も引き続き分析を続け、判明した内容はこのお知らせの更新にてお知らせします。