Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

SonicWallのVPN製品「SMA1000」などに複数の脆弱性

SonicWallは、VPNアプライアンス「SMA1000シリーズ」やクライアントソフトの「Connect Tunnel」に脆弱性が判明したことを受け、注意喚起を行った。

現地時間10月10日にセキュリティアドバイザリを公開し、3件の脆弱性「CVE-2024-45315」「CVE-2024-45316」「CVE-2024-45317」について明らかにしたもの。重要度は4段階中、上から2番目にあたる「高(High)」とレーティングしている。いずれも悪用は確認されていない。

「CVE-2024-45316」「CVE-2024-45315」は、Windows向けに提供している「Connect Tunnel」においてファイルやディレクトリのリンクを解決する際、不適切に処理する「リンクフォロー」の脆弱性。

任意にファイルやフォルダを作成したり、削除することが可能で、権限の昇格やサービス拒否などにつながるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは、それぞれ「7.8」「6.1」と評価されている。

一方「CVE-2024-45317」は、「SMA1000」に判明したサーバーサイドリクエストフォージェリ(SSRF)の脆弱性。認証を必要とすることなく、リモートより任意のIPアドレスに対してリクエストを送信させることが可能。CVSS基本値は「7.2」と評価した。

同社は、Windows向けに脆弱性を修正した「Connect Tunnel 12.4.3.281」を提供。「SMA1000」向けにファームウェアのホットフィクスとなる「バージョン12.4.3-02758」をリリースした。

「Connect Tunnel」は、Windows版のみ影響があり、Linux版およびMac版は、これら脆弱性の影響を受けないとしている。

(Security NEXT - 2024/10/11 ) このエントリーをはてなブックマークに追加

PR

関連記事

廃棄予定の自動車税申告書を一時紛失、運搬中に落下 - 神奈川県
OT製造現場のリスク把握とセキュリティ対策を支援 - MIND
「レイク」「オリックス」の偽メールに注意 - 狙われる消費者金融ブランド
QNAP製NAS向けの複数ツールに深刻な脆弱性 - アップデートを
海外子会社にサイバー攻撃、従業員情報が流出した可能性 - ベルシステム24
iOS版「Okta Verify」に脆弱性 - アップデートで修正、影響の確認を
メルアカがスパムの踏み台に、情報流出など影響を調査 - 宮崎大
「LiteSpeed Cache」に権限昇格の脆弱性 - アップデートで修正
紅茶専門店の通販サイトに不正アクセス - 個人情報流出の可能性
「Rancher」に複数の深刻な脆弱性 - アップデートで修正