黑客在SonicWall攻击中部署"OVERSTEP"后门

来源： agefotostock via Alamy Stock Photo

SonicWall已发布固件更新，帮助客户清除rootkit恶意软件。这类恶意软件旨在让威胁行为者在保持不被检测的情况下获得管理员级访问权限。

该恶意软件针对SonicWall安全移动接入(SMA)100系列产品，包括SMA 210、410和500v。SMA企业设备是统一安全接入网关，用于从远程设备（包括受管理和非受管理设备）提供对本地、云端和混合数据中心托管应用的访问。

根据SonicWall昨天发布的公告，如果用户应用新的固件更新，将获得额外的文件检查功能，“提供清除SMA设备上已知rootkit恶意软件的能力”。

SonicWall强烈建议用户升级到10.2.2.2-92sv版本以获得安全保护，特别是考虑到SonicWall SMA 100设备将于10月1日停止支持。

该公告的发布是为了帮助在MySonicWall云备份文件事件中受影响的客户。SonicWall上周对此事的调查发现，恶意行为者正在对MySonicWall.com网站门户使用暴力破解技术来获取客户信息。

UNC6148网络威胁组织获得持久访问权限

与此同时，根据谷歌威胁情报组(GTIG)在7月份威胁报告中的研究，利用SonicWall SMA的攻击活动一直在持续进行。这些攻击由一个被追踪为UNC6148的威胁行为者实施，该组织可能一直在利用先前漏洞中窃取的凭据和一次性密码种子。

现在，该威胁行为者正在部署研究人员描述的"先前未知的持久后门/用户模式rootkit"，他们将其追踪为OVERSTEP。

研究人员表示：“我们的分析显示，该恶意软件修改设备的启动过程以维持持久访问、窃取敏感凭据并隐藏自身组件”，同时还允许攻击者删除日志条目以逃避检测，并隐藏文件和行为。他们补充说，在最近的一系列攻击中，“UNC6148可能使用了未知的零日远程代码执行漏洞在机会性目标的SonicWall SMA设备上部署OVERSTEP”。

谷歌TAG研究人员指出，UNC6148过去可能利用了几个漏洞，包括：

• CVE-2021-20038：内存损坏漏洞
• CVE-2024-38475：未经身份验证的路径遍历漏洞
• CVE-2021-20035和CVE-2021-20039：经过身份验证的远程代码执行漏洞
• CVE-2025-32819：经过身份验证的文件删除漏洞

检测与缓解措施

SonicWall研究人员指出，如果出现以下情况，用户将知道自己是否受到侵害：SMA日志中存在空白或删除、设备意外重启、持久或无法解释的管理会话、未经用户授权进行的配置更改，或在打补丁或重置后重复出现访问。

如果出现任何这些迹象，网络安全和基础设施安全局(CISA)和研究人员建议用户立即升级固件、更换和重建SMA 500v、重置所有用户的一次性密码(OTP)绑定，并应用强化措施，如为所有用户强制执行多因素认证(MFA)、重置所有密码，以及更换存储在设备上的私钥证书。