製品のお知らせ: SonicOSにおける不適切なアクセス制御の脆弱性
First Published:08/23/2024
Last Updated:11/15/2024
概要
SonicWall SonicOSの管理アクセスおよびSSLVPNに不適切なアクセス制御の脆弱性が確認され、不正なリソースアクセスや特定の条件下でファイアウォールがクラッシュする可能性があります。
この問題は、SonicWallのGen 5およびGen 6デバイス、ならびにSonicOS 7.0.1-5035およびそれ以前のバージョンを実行しているGen 7デバイスに影響します。
この脆弱性は、潜在的に悪用されています。
影響を受ける製品については、できるだけ早くパッチを適用してください。最新のパッチビルドはmysonicwall.comからダウンロード可能です。
製品への影響
お使いのファイアウォールアプライアンスが影響を受けるかどうかは、以下の表をご確認ください。お使いのアプライアンスが影響を受けるファームウェアバージョンを使用している場合は、提供されるパッチガイダンスに従ってください。
| Gen | 影響のあるモデル | 影響のあるバージョン |
| Gen5 | SOHO(日本では販売していません) | SonicOS 5.9.2.14-2o およびより古いバージョン |
| Gen 6/6.5 | SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W | SonicOS 6.5.4.14およびより古いバージョン |
| Gen 7 | TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700, NSv 270, NSv 470, NSv 870 |
|
ノート:Gen6 NSv(virtual firewalls)には影響ありません。
対処方法
本脆弱性の影響を受けるSonicOSのバージョンをご利用の場合、影響を受けるモデルを下表のバージョンにアップグレードして下さい。
| Gen | 対象製品モデル | 修正バージョン |
| Gen5 | SOHO(日本では販売していません) | SonicOS 5.9.2.14-13o (日本語ファームウェアはリリースされません) |
| Gen 6
| SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W | SonicOS 6.5.4.15-117n
|
| Gen 7 | TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700, NSv 270, NSv 470, NSv 870 | 本脆弱性は、SonicOSファームウェアバージョン7.0.1.5035より新しいバージョンでは再現しませんが、以下の最新の日本語ファームウェアにアップグレードすることを推奨します。 SonicOS 7.1.1-7058 |
ノート: すでにSonicOS 7.1.1-7058を実行している場合は、この時点で追加のアクションは必要ありません。
重要
本脆弱性の修正を含むファームウェアにアップグレードを実施後、以下のセキュリティベストプラクティスを実施して下さい。
1. **MFA(TOTPまたはメールベースのOTP)の有効化**: https://www.sonicwall.com/support/knowledge-base/230302213311847
2. **SSLVPNアクセスとWAN管理アクセスを信頼できるソースのみに制限**、または使用していない場合はSSLVPNアクセスおよびWAN管理を完全に無効化: https://www.sonicwall.com/support/knowledge-base/230306203120940
3. **SSLVPNを使用している場合、ローカルSSLVPNユーザーのパスワードをリセット**
ユーザーは、ローカルユーザの設定で "ユーザはパスワードを変更する必要があります"オプションが有効になっている場合、パスワードを変更することができます。管理者は、この重要なセキュリティ対策が確実に実施されるように、各ローカルユーザの"ユーザはパスワードを変更する必要があります"オプションを手動で有効にする必要があります。
4. **アカウントロックアウト機能の実装**: https://www.sonicwall.com/support/knowledge-base/241110223743453
5. **ボットネットフィルタリングを有効化**し(利用できない場合はアクセスルールを使用して)IoC IPアドレスをブロック:
https://www.sonicwall.com/support/knowledge-base/170503936467975
IoC IPアドレスについては、SNWLID-2024-0015 のIndicators of Compromise (IoCs) を参照ください。
NSA 2600、Gen 5、および EoL(End of Life)である古いユニットは、このエクスプロイトの影響を受けやすく、これらのサポート対象外のユニット向けのソフトウェア・アップデートはリリースされません。 古い、サポートされていないSonicWallファイアウォールを使用している場合、WAN管理およびSSL VPNアクセスを直ちに無効にし、そのようなユニットを最新世代のデバイスに早急にアップグレードしてください。
関連情報
- PSIRT ADVISORY SNWLID-2024-0015
- SonicOSのファームウェアアップグレード手順
- SonicOS 7.1.1 FAQ
Follow Us
© 2024 SonicWall. All Rights Reserved.