概要
2022年12月7日、SafeBreachのセキュリティ研究者は、Microsoft Windowsのエンドポイントで動作するEDRエージェントを悪意のあるデータワイパーに変える可能性のある「Aikido」と名付けられた脆弱性とその後の概念実証(POC)用エクスプロイトコードを公開しました。
この悪用は、SentinelOne Agent for Microsoft Windowsを含む、脆弱性のある6つのEDR製品で動作することが確認されています。SonicWall Capture Clientは、SentinelOne Agentを活用して高度なエンドポイントプロテクションを提供します。
SonicWall Product Security & Incident Response Team (PSIRT)は、野生のアクティブなエクスプロイトを認識していません。SafeBreachの研究者によって概念実証の報告が公開されていますが、本脆弱性の悪意のある使用はSonicWallに報告されていません。
影響のある製品
Aikido エクスプロイトは、22.3より古いすべてのバージョンのSentinelOne Agent for Windowsを使用しているSonicWall Capture Clientユーザーに影響します。
回避策
SentinelOneは、バージョン22.1.5.11025、22.2.3.402 または 22.2.4.558 を実行している影響を受けるエンドポイントで有効にできる、脆弱性を修正するポリシーオーバーライドをリリースしています。SonicWallは、SonicWall Capture Clientを実行しているすべての影響を受けるエンドポイントにこのポリシーオーバーライドを適用しています。
解決方法
SentinelOne社は、2022年12月9日にセキュリティ通知を発表し、Aikidoが悪用した脆弱性が同社のSentinelOne Agent 22.3 for Windowsで修正されていることを確認しました。しかし、このエージェントは現在Early Availability(早期公開)のみとなっています。
SonicWallは、このバージョンをSonicWallマネージドリリースとして推奨しており、クライアントポリシーの一部としてSonicWallマネージドリリースで構成されたすべてのエンドポイントに対して自動アップデートが開始されます。
SentinelOne Agent 22.2.3.402 for Windowsより古いセルフマネージドリリースでエンドポイントを管理しているお客様は、SentinelOne Agent for Windowsの最新のSonicWallマネージドリリースにアップグレードすることをお勧めします。
その他のリソース(英語)