SonicWall发布SMA100固件更新清除rootkit恶意软件

SonicWall已发布固件更新，可帮助客户清除针对SMA 100系列设备攻击中部署的rootkit恶意软件。

该公司在周一的公告中表示：“SonicWall SMA 100 10.2.2.2-92sv版本已发布，增加了额外文件检查功能，能够清除SMA设备上存在的已知rootkit恶意软件。SonicWall强烈建议SMA 100系列产品（SMA 210、410和500v）用户升级至10.2.2.2-92sv版本。”

此次更新源于谷歌威胁情报小组（GTIG）研究人员7月份的报告，他们观察到被追踪为UNC6148的威胁行为体在生命周期结束的SonicWall SMA 100设备上部署OVERSTEP恶意软件，这些设备将于2025年10月1日停止支持。

OVERSTEP是一款用户模式rootkit，使攻击者能够通过隐藏恶意组件并在受感染设备上建立反向shell来维持持久访问。该恶意软件会窃取敏感文件，包括persist.database和证书文件，为黑客提供访问凭证、OTP种子和证书的权限，从而进一步实现持久化。

虽然研究人员尚未确定UNC6148攻击的目标，但他们确实发现了与Abyss相关勒索软件事件的"显著重叠"。

例如，2023年底，Truesec调查了一起Abyss勒索软件事件，黑客在SMA设备上安装了web shell，使他们能够在固件更新后保持持久性。2024年3月，InfoGuard AG事件响应员Stephan Berger报告了类似的SMA设备入侵事件，同样导致了Abyss恶意软件的部署。

SonicWall周一补充道：“谷歌威胁情报小组的威胁情报报告强调了使用旧版SMA100固件的潜在风险”，并敦促管理员实施今年7月公告中概述的安全措施。

上周，SonicWall警告客户重置凭证，因为他们的防火墙配置备份文件在针对云备份API服务的暴力攻击中被暴露。

8月，该公司还驳斥了Akira勒索软件团伙使用潜在零日漏洞攻击第7代防火墙的说法，澄清该问题与2024年11月修补的关键漏洞（CVE-2024-40766）有关。

澳大利亚网络安全中心（ACSC）和网络安全公司Rapid7随后确认，Akira团伙正在利用此漏洞攻击未打补丁的SonicWall设备。