セキュリティに関する重要なお知らせ: OpenSSL 証明書解析時の無限ループ(CVE-2022-0778) - SonicWall製品への影響
First Published:04/21/2022
Last Updated:04/26/2022
更新: 日本時間2022年4月26日
OpenSSL に脆弱性(CVE-2022-0778)が存在し、攻撃者が不正な楕円曲線パラメータを持つ証明書を細工することで、無限ループを引き起こす可能性があることが確認されました。証明書の解析は、証明書署名の検証の前に行われるため、外部から提供された証明書を解析する処理は、DoS(サービス拒否)攻撃につながります。
SonicWall製品に対する、この脆弱性の影響をご報告いたします。
参考(英語): https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0002
- OpenSSLとは何ですか、またSonicWall製品でどのように使用されていますか?
OpenSSLは、SSLおよびTLSプロトコルのオープンソースの実装です。アプリケーションが安全に通信するためのソフトウェアライブラリです。OpenSSL暗号とツールキットの詳細については、www.openssl.org で確認下さい。
いくつかのSonicWall製品では、アプライアンスとの間の通信を保護するためにOpenSSLライブラリを使用しています。例としては、アプライアンスの安全なWeb管理、リモートアクセス接続の終端(SMA、ファイアウォールのリモートアクセスなど)、安全な接続の復号化および暗号化(DPI-SSL)などがあります。 - OpenSSLの脆弱性CVE-2022-0778とは何ですか?
OpenSSLに脆弱性(CVE-2022-0778)があり、不正な楕円曲線パラメータを持つ証明書を細工することで、OpenSSLライブラリが無限ループに入り、サービス拒否(DoS)攻撃を引き起こすことが判明しました。証明書の解析は、証明書署名の検証の前に行われるため、外部から提供された証明書を解析する処理は、DoS攻撃につながる可能性があります。 - 本脆弱性の影響を教えてください。
本脆弱性は、脆弱なOpenSSLバージョンを使用している組織またはベンダーに影響を与えます。脆弱性のあるSonicWall製品が、外部から提供された細工された証明書を解析した場合、DoS攻撃につながる可能性があります。つまり、CPUを100%消費したり、不正な証明書による無限ループが発生し、ユーザーに対しWeb GUIが応答しなくなる可能性があります。 - OpenSSLのどのバージョンが影響を受けるのでしょうか?
OpenSSL バージョン 1.0.2, 1.1.1, 3.0 を使用しているすべての製品(ベンダーを問わない)に影響があります。2022年3月15日にリリースされた1.1.1nと3.0.2では、この脆弱性は修正されています。
- この脆弱性の深刻度はどのくらいですか?
CVSSの基本スコアが7.5で、深刻度は「高」の脆弱性です。攻撃が成功すると、アプライアンスが応答しなくなる可能性があります。
- OpenSSLの脆弱性の影響を受けるSonicWallの製品はどれですか?
SonicWallは、すべての製品ラインを調査し、どの製品およびクラウドサービスがこの脆弱性の影響を受ける可能性があるかを確認しています。最新のアップデートについては、(英語)SonicWall OpenSSLアドバイザリー(SNWLID-2022-0002)をご確認ください。
- SonicWallは、お客様を保護するためにIPSシグネチャをリリースしましたか?
SonicWallは、脆弱なシステムを保護するために、以下のIPSシグネチャをリリースしています。これらのシグネチャは、有効なIPSサブスクリプションがあれば、自動シグネチャ展開により自動的に適用されます。SonicWall Capture Labsは、この脆弱性に関する調査結果を最近のSonicAlertでお知らせしています。
- IPS: 15407 OpenSSL BN_mod_sqrt Function DoS 1
- IPS: 15491 OpenSSL BN_mod_sqrt Function DoS 2
- IPS: 15351 OpenSSL BN_mod_sqrt Function DoS 3
- IPS: 15755 OpenSSL BN_mod_sqrt Function DoS 4
- 本脆弱性がSonicWallファイアウォールアプライアンスに与える影響を教えてください。
影響度は大です。DoS攻撃が成功した場合、対象のアプライアンスは応答不能になります。
Gen5、Gen6、Gen6.5、Gen7シリーズのすべての物理ファイアウォールおよび仮想ファイアウォールが影響を受けます。詳細については、以下の表を参照してください。SonicWallでは、パッチが利用可能になったら、影響を受けるファイアウォールアプライアンスに直ちにパッチを適用することを推奨しています。世代 製品モデル 影響の有無 影響および推奨 修正バージョン SonicOS5.x TZ100W, TZ200W, TZ210W
TZ105W, TZ205W, TZ215WNSA 220W, NSA 250M
NSA2400/MX/3500/4500/5500
NSAE5500/E6500/E7500/8500/8510有 影響度大
これらの製品はすでに製品ライフサイクルが終了しており、修正ファームウェアはリリースされません。現在もご利用中の場合は、速やかに後継機への移行を行うことをおすすめいたします。
SonicWallは、記載されているEOLのGen 5製品についてはパッチをリリースしていません。詳細については、SonicWall製品ライフテーブルを参照してください。 SonicOS6/6.5 SOHO-W, SOHO-250
TZ300W, TZ350/W
TZ400/W
TZ500/W
TZ600
NSa 2600/3600/4600/5600/6600NSa 2650/3650/4650/5650/6650
SuperMassive 9200/9400/9600/9800
NSa 9250/9450/9650
NSsp 12400/12800
NSv 10/25/50/100/200/400/800/1600 (ESX, KVM, HYPER-V, AWS, Azure)有 影響度大
SonicWallは、影響を受けるファイアウォールに直ちにパッチを適用することを推奨します。
SonicOS 6.5.4.10-95n SonicOS7.0 TZ270W, TZ370W, TZ470W, TZ570W, TZ670
NSa 2700/3700/4700/5700/6700
NSsp 10700/11700/13700/15700
NSv 270/470/870 (ESX, KVM, HYPER-V, AWS, Azure)有 影響度大
SonicWallは、影響を受けるファイアウォールに直ちにパッチを適用することを推奨します。
SonicOS 7.0.1-5052
- 本脆弱性がSonicWall Secure Mobile Access (SMA)アプライアンスに与える影響を教えてください。
影響度は大です。攻撃が成功すると、アプライアンスが応答しなくなる可能性があります。
すべてのSMA 100シリーズおよび1000シリーズの物理アプライアンスと仮想アプライアンスが影響を受けます。特定のモデルについては、以下の表を参照してください。SonicWallでは、パッチが利用可能になったら、影響を受けるSMA 100、SMA 1000シリーズのアプライアンスに直ちにパッチを適用することを推奨します。製品 モデル 影響の有無 影響および推奨 SMA 100シリーズ SMA 210/410
SMA 500v (ESX, KVM, Hyper-V, AWS, Azure)有 影響度大
SonicWallは、影響を受けるSMA装置に直ちにパッチを適用することを推奨します。
2022年4月末頃リリース予定 SMA 1000シリーズ SMA 6200/7200/6210/7210
SMA 8200v
(ESX, KVM, Hyper-V, AWS, Azure)有 影響度大
SonicWallは、影響を受けるSMA装置に直ちにパッチを適用することを推奨します。
12.4.1-02965
12.1.0-07081
- 本脆弱性がSonicWallのVPN/リモートアクセスクライアントに与える影響について教えてください。
影響度は低です。SonicWallは、影響を受けるクライアントのバージョンに対応するパッチをリリースする予定です。詳細については、以下の表をご参照ください。製品 影響の有無 影響 備考 修正バージョン Global VPN Client (GVC) 無 - - - Connect Tunnel Version 12.1 および以前のバージョン 無 - Connect Tunnel バージョン 12.1 および以前のバージョンは OpenSSL を使用していないため、脆弱性はありません。 - Connect Tunnel Version 12.4 有 低
DoS攻撃への影響はクライアントワークステーションのみに限定されます。脆弱なワークステーションが攻撃された場合、エンドポイントは高いCPU使用率を示すようになります。
悪用するには、クライアントが、SMA 1000アプライアンスではなく、悪意のあるデバイスに対して能動的に接続する必要があります。 2022年5月中旬頃にリリース予定 NetExtender for Linux 有 低
DoS攻撃への影響はクライアントワークステーションのみに限定されます。脆弱なワークステーションが攻撃された場合、エンドポイントは高いCPU使用率を示すようになります。
10.2.839 より前の Linux クライアントが影響を受けます。 2022年5月中旬頃にリリース予定 NetExtender for Windows
全バージョン無 - - - Mobile Connect for iOS 有 低
DoS攻撃への影響はデバイスのみに限定されます。脆弱なワークステーションが攻撃された場合、エンドポイントは高いCPU使用率を示すようになります。
5.0.11より前のiOSクライアントが影響を受けます。 2022年5月中旬頃にリリース予定 Mobile Connect for MacOS 有 低
DoS攻撃への影響はクライアントワークステーションのみに限定されます。脆弱なワークステーションが攻撃された場合、エンドポイントは高いCPU使用率を示すようになります。
5.0.10以前のMacOSクライアントが影響を受けます。 2022年5月中旬頃にリリース予定 Mobile Connect for Android and ChromeOS 有 低
DoS攻撃への影響はデバイスのみに限定されます。脆弱なワークステーションが攻撃された場合、エンドポイントは高いCPU使用率を示すようになります。
5.0.18より前のAndroidクライアントが影響を受けます。 2022年5月中旬頃にリリース予定
- 一時的な回避策/緩和策はありますか?
攻撃のリスクを低減するために、SonicWallファイアウォールアプライアンスで以下のIPSシグネチャを有効にすることを推奨します。- IPS: 15407 OpenSSL BN_mod_sqrt Function DoS 1
- IPS: 15491 OpenSSL BN_mod_sqrt Function DoS 2
- IPS: 15351 OpenSSL BN_mod_sqrt Function DoS 3
- IPS: 15755 OpenSSL BN_mod_sqrt Function DoS 4
お客様は、関連するパッチリリースが利用可能になり次第、アップグレードすることを推奨します。アドバイザリーの最新情報および推奨されるパッチリリースについては、SonicWall OpenSSL アドバイザリー(英語)をご確認ください。
追加の情報
- SNWLID-2022-0002(英語)
- CVE-2022-0778(英語)
- How can I upgrade SonicOS Firmware?(英語)
- SMA 100 シリーズ製品のファームウェアップグレードの方法
- How to upgrade firmware on SMA 1000 series appliance(英語)
Follow Us
© 2024 SonicWall. All Rights Reserved.