概要

SonicWallは、リモートアクセス機器「Secure Mobile Access(SMA)1000」シリーズに存在する2件のゼロデイ脆弱性が実際の攻撃で悪用されていることを確認し、パッチを公開した。1件は認証なしで悪用可能なサーバーサイドリクエストフォージェリ(SSRF)の脆弱性で、CVSSスコアは最大値の10.0(Critical)と評価されている。もう1件は認証済みの管理者が管理コンソール(Appliance Management Console、AMC)経由で任意のOSコマンドを実行できてしまう脆弱性で、CVSSスコアは7.2(High)。SonicWallは「両脆弱性が実際に悪用されている複数の事例を確認した」と明らかにしており、CISA(米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁)は両脆弱性を既知の悪用脆弱性(KEV)カタログに追加し、連邦文民行政機関に対して2026年7月17日までの修正適用を義務付けた。

技術的な詳細

未認証SSRFの脆弱性(CVE-2026-15409、CVSS10.0)は、リモートの攻撃者が認証を経ずにアプライアンスへ任意のリクエストを発行させ、意図しない宛先へ通信させることを可能にするもの。もう一方の脆弱性(CVE-2026-15410、CVSS7.2)は、AMCにおけるポスト認証のコード注入の欠陥で、認証済みの攻撃者が特定の条件下で管理者権限のOSコマンドを実行できてしまう。単体でも深刻だが、これら2つを連鎖させることで、未認証の攻撃者が最終的に管理者権限でのリモートコード実行を達成できる可能性がある点が特に懸念されている。両脆弱性はSonicWall社内のプロダクトセキュリティインシデント対応チーム(PSIRT)のAdam Babis氏が特定し、セキュリティ企業Volexityの調査員Sean Koessel氏とSteven Adair氏も調査に協力した。SonicWallは修正版としてバージョン12.4.3-03453(プラットフォームホットフィックス)以降、および12.5.0-02835(プラットフォームホットフィックス)以降を公開しており、対象組織には速やかな適用が求められる。

推奨される対応

SonicWallおよびセキュリティ研究者は、既に侵害を受けている可能性を踏まえ、パッチ適用だけでなくフォレンジック調査の実施を推奨している。具体的には、システムログにおける不審なAPIログインリクエスト、WebSocketプロキシの異常なアクティビティ、および許可されていない設定変更の痕跡がないかを確認することが重要だとされている。SonicWallのアプライアンスは過去にも複数回、実際の攻撃キャンペーンで悪用される脆弱性が発見されており、企業のリモートアクセス基盤を狙う攻撃者にとって引き続き主要な標的となっている。今回のようにCISAが即座にKEVカタログへ追加し是正期限を設けたことは、脆弱性の深刻度と悪用の実態の高さを裏付けており、SMA 1000シリーズを利用する組織は速やかなパッチ適用と侵害有無の確認を優先すべきである。