セキュリティに関する重要なお知らせ: SMA 1000 シリーズ未認証のアクセスコントロールのバイパス

First Published:05/17/2022

Last Updated:05/17/2022

SonicWall Product Security & Incident Response Team（PSIRT）は、Secure Mobile Access（SMA）1000シリーズ製品（以下の製品リストおよび影響を受けるファームウェアバージョンを参照）に影響を及ぼす以下の脆弱性を確認し、パッチを適用しました。

未認証のアクセス制御のバイパス
ハードコードされた共有暗号鍵の使用
信頼できないサイトへのURLリダイレクト(オープンリダイレクト)

重要：これらの脆弱性が悪用されているという証拠はありません。

各脆弱性の詳細は、PSIRT Advisory SNWLID-2022-0009(英語)に記載されています。

概要

影響を受ける製品 SMA: 1000 シリーズ (6200, 6210, 7200, 7210, 8200v)
影響を受けるバージョン: 12.4.0 および 12.4.1 (ホットフィックスを含む)
修正されたバージョン: 12.4.1-02994
注意事項: 以下の製品への影響はありません。
- 12.4.0より前のバージョンを実行しているSMA 1000シリーズ
- SMA 100シリーズ
- CMS
- リモートアクセスクライアント

SMA 1000シリーズをご利用のお客様は、最新のパッチにアップグレードし、以下のガイダンスに従うことを強く推奨します。

影響

未認証のアクセスコントロールのバイパス
攻撃者は、認証されていない状態から接続を細工して、内部リソースにアクセスできるようになる可能性があります。
ハードコードされた暗号鍵の使用
ハードコードされた暗号鍵の使用により、攻撃者が暗号化された認証情報を取得する可能性があります。
信頼できないサイトへのURLリダイレクト（オープンリダイレクト）
攻撃者がユーザーを信頼できないサイトへリダイレクトさせる可能性があります。

一時的な緩和策

一時的な緩和策はありません。SonicWall は、影響を受けるお客様に対して、該当するパッチをできるだけ早く適用するよう促しています。

解決方法

影響を受けるプラットフォーム SMA 1000 シリーズ

SMA 6200, 6210, 7200, 7210, 8000v (ESX, KVM, Hyper-V, AWS, Azure)

	CVSS Score	影響のあるファームウェア	修正ファームウェア	CVE ID
未認証のアクセスコントロールのバイパス	8.2 (高)	12.4.0 12.4.1	12.4.1-02994	CVE-2022-22282
ハードコードされた暗号鍵の使用	5.7 (中)	12.4.0 12.4.1	12.4.1-02994	CVE-2022-1701
信頼できないサイトへのURLリダイレクト（オープンリダイレクト）	6.1 (中)	12.4.0 12.4.1	12.4.1-02994	CVE-2022-1702