SonicWallの中小企業向けVPN「SMA100シリーズ」に脆弱性
中小企業向けのSonicWall社製のVPN製品「SMA100シリーズ」に脆弱性「CVE-2021-20034」が見つかったとして情報処理推進機構(IPA)などが注意を呼びかけています。第三者が脆弱性を悪用した場合、管理者権限を盗まれる可能性があるため、早急に修正プログラムを適用する必要があります。
脆弱性「CVE-2021-20034」とは
SonicWallの公式サイトによると、SMA 100シリーズの脆弱性「CVE-2021-20034」とは、悪用された証拠はないとしつつも、本来制限されているはずのディレクトリへのファイルパスの制限が不十分なため、任意のファイルが削除されて、結果として管理者権限を取得されてしまう可能性があります。
SMA100とは
SonicWall Secure Mobile Access(SMA)100シリーズは、SSL暗号通信の技術を使った中小企業向けの「VPN」(仮想プライベートネットワーク)で、企業の内部ネットワークを守るために使われている製品です。
対象製品とバージョン
今回の脆弱性が見つかった対象製品とバージョンは次の通りです。
対象製品
SMA 200
SMA 210
SMA 400
SMA 410
SMA 500v
バージョン
10.2.1.0-17sv およびそれ以前
10.2.0.7-34sv およびそれ以前
9.0.0.10-28sv およびそれ以前
脆弱性の対策は修正プログラムの適用
解決方法は修正プログラムのアップデートです。
SMA 100シリーズアプライアンスを使用している企業は、MySonicWall.comから修正ファームウェアを取得しアップグレードしてください。
アップグレードの支援については、「SMA100シリーズアプライアンスのファームウェアをアップグレードする方法」(英語)を参照するか、SonicWallサポートに問い合わせてください。
