製品のお知らせ: SonicOSにおける不適切なアクセス制御の脆弱性

First Published:08/23/2024

Last Updated:10/01/2024

概要

SonicWall SonicOSの管理アクセスおよびSSLVPNに不適切なアクセス制御の脆弱性が確認され、不正なリソースアクセスや特定の条件下でファイアウォールがクラッシュする可能性があります。

この問題は、SonicWallのGen 5およびGen 6デバイス、ならびにSonicOS 7.0.1-5035およびそれ以前のバージョンを実行しているGen 7デバイスに影響します。
この脆弱性は、潜在的に悪用されています。

影響を受ける製品については、できるだけ早くパッチを適用してください。最新のパッチビルドはmysonicwall.comからダウンロード可能です。

製品への影響

お使いのファイアウォールアプライアンスが影響を受けるかどうかは、以下の表をご確認ください。お使いのアプライアンスが影響を受けるファームウェアバージョンを使用している場合は、提供されるパッチガイダンスに従ってください。

Gen	影響のあるモデル	影響のあるバージョン
Gen5	SOHO(日本では販売していません）	SonicOS 5.9.2.14-2o およびより古いバージョン（日本語ファームウェアはリリースされていません）
Gen 6/6.5	SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W	SonicOS 6.5.4.14-109nおよびより古いバージョン
Gen 7	TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700, NSv 270, NSv 470, NSv 870	SonicOS 7.0.1-5035およびより古いバージョン

ノート:Gen6 NSv(virtual firewalls)には影響ありません。

一時回避策

影響を最小限に抑えるには、ファイアウォール管理アクセスを信頼できるソースに制限するか、インターネットソースからのWAN管理アクセスを無効にしてください。SSLVPNについても、アクセスを信頼できるソースに制限するか、インターネットからのSSLVPNアクセスを無効にしてください。

WAN管理アクセスを制限/無効にする方法の詳細はこちらのKB(英語) を参照ください。

影響を受ける製品でパッチが利用可能になったら、できるだけ早くパッチを適用してください。

ファイアウォールのSSLVPNアクセスを無効にする方法については、こちらのKB(英語)を参照してください。

WAN管理アクセス/SSLVPNの制限/無効化についてさらにご質問がある場合、または追加情報が必要な場合は、SonicWallテクニカルサポートまでお問合せください。

対処方法

本脆弱性の影響を受けるSonicOSのバージョンをご利用の場合、影響を受けるモデルを下表のバージョンにアップグレードして下さい。

Gen	対象製品モデル	修正バージョン
Gen5	SOHO(日本では販売していません）	SonicOS 5.9.2.14-13o （日本語ファームウェアはリリースされません）
Gen 6	SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W	SonicOS 6.5.4.15-116n (2024年8月23日リリース)
Gen 7	TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700, NSsp 15700, NSv 270, NSv 470, NSv 870	本脆弱性は、SonicOSファームウェアバージョン7.0.1.5035より新しいバージョンでは再現しませんが、以下の最新の日本語ファームウェアにアップグレードすることを推奨します。 SonicOS 7.0.1-5161

ノート: すでにSonicOS 7.1.1-7058を実行している場合は、この時点で追加のアクションは必要ありません。

重要

SonicWallでは、GEN5およびGEN6ファイアウォールを使用しているお客様で、ローカルで管理されているアカウントを使用しているSSLVPNユーザーは、セキュリティ強化と不正アクセス防止のため、直ちにパスワードを更新することを強くお勧めします。ユーザーは、ローカルユーザの設定で "ユーザはパスワードを変更する必要があります"オプションが有効になっている場合、パスワードを変更することができます。管理者は、この重要なセキュリティ対策が確実に実施されるように、各ローカルユーザの"ユーザはパスワードを変更する必要があります"オプションを手動で有効にする必要があります。

NSA 2600、Gen 5、および EoL（End of Life）である古いユニットは、このエクスプロイトの影響を受けやすく、これらのサポート対象外のユニット向けのソフトウェア・アップデートはリリースされません。古い、サポートされていないSonicWallファイアウォールを使用している場合、WAN管理およびSSL VPNアクセスを直ちに無効にし、そのようなユニットを最新世代のデバイスに早急にアップグレードしてください。

ヒント: パスワード変更の強制、OTPの強制、ファイアウォールのファームウェアアップデートの補助のために、SonicOSオートメーションを使用することができます。https://github.com/sonicwall/sonicos-automation/ をご参照ください。

GEN6 ファイアウォールの場合：

管理 | ユーザ > ローカルユーザとグループに移動します。詳細については、『SonicOS 6.5システム設定管理者ガイド』の237ページと238ページを参照してください。

さらに、SonicWallでは、すべてのSSLVPNユーザーに対してMFA（TOTPまたはメールベースのOTP）を有効にすることを推奨しています。

製品のお知らせ: SonicOSにおける不適切なアクセス制御の脆弱性

概要

製品への影響

一時回避策

対処方法

重要

GEN6 ファイアウォールの場合：

関連情報

Follow Us

Subscribe to newsletter

Stay In Touch