A SonicWall rootkit-eltávolító funkciókat kínál az SMA 100 sorozatában

A SonicWall friss firmware-t adott ki Secure Mobile Access (SMA) 100-as sorozatú eszközeihez. Ez a frissítés eszközöket ad hozzá az ismert rootkitek felismeréséhez és törléséhez.

A fenyegetés az OVERSTEP felhasználói módú rootkitet célozza meg. Az UNC6148 fenyegetőcsoport terjeszti.

A kampány
2025 júliusában a Mandiant válaszadói és a Google Threat Intelligence Group szakértői riasztást adtak ki. Észrevettek egy SonicWall SMA támadást, amelyet az UNC6148 futtatott.

A hackerek ellopott adminisztrátori bejelentkezéseket használtak fel egy SSL VPN-kapcsolat elindításához az eszközökön. Ezután létrehoztak egy fordított héjat. Ez lehetővé tette számukra a rendszer felderítését, a beállítások módosítását, az OVERSTEP hátsó ajtó rootkitet telepítését, amely titkos adatokat szerez meg, valamint a fájlok kezelését vagy elrejtését.

Az OVERSTEP telepítése után a hackerek törölték a naplókat és újraindították a tűzfalat az indításhoz. Ezek a módosítások biztosították, hogy az OVERSTEP fájl minden újraindításkor betöltődjön az eszköz fájlrendszerébe, mondták a szakértők.

Rámutattak az UNC6148 és a 2023 végi és 2024 eleji SonicWall támadások közötti kapcsolatokra. Ezek az Abyss zsarolóvírusok telepítéséhez vezettek.

Eszközök frissítése vagy cseréje

A kampány egyik nagy aggodalma: a hackerek fordított shell-t kaptak az eszközökre, aminek nem szabadna megtörténnie.

A Mandiant és a SonicWall PSIRT csapata nem tudta meghatározni az okot. Úgy sejtették, hogy egy ismeretlen hiba játszott szerepet.

A fordított shell trükk eleinte nem volt világos. De a SonicWall későbbi riasztása megerősítette, hogy a támadók a CVE-2024-38475-öt használták egy admin SSL VPN munkamenet átvételére.

A SonicWall arra sürgette a támadócsoportokat, hogy:

Frissítsék, cseréljék ki vagy építsék újra az eszközöket a rootkitek eltávolítása érdekében.

Állítsák vissza az összes bejelentkezést (admin, helyi, könyvtár), cseréljék ki a tanúsítványokat az eszközön lévő kulcsokkal, és kérjék meg a felhasználókat, hogy a következő bejelentkezéskor újra csatolják a hitelesítő alkalmazásokat.

Adjanak hozzá néhány megerősítési lépést.

Most ezzel a firmware-rel a csoportok azonnal törölhetik a rootkitet. A Google felsorolja a rossz fájlokat.

A SonicWall arra ösztönzi az SMA 100 sorozat (210, 410, 500v) felhasználóit, hogy térjenek át a 10.2.2.2-92sv verzióra. Hangsúlyozzák ezen biztonsági lépések betartását is.

Ez a firmware kijavítja a CVE-2024-38475 és a CVE-2025-40599 hibákat. A második egy fájlfeltöltési hiba a bejelentkezett felhasználóknál. Nincsenek jelek arra, hogy ezek vagy más hackerek aktívan használták volna a terméket.

A SonicWall SMA 100 sorozat értékesítése megszűnt. A cég felgyorsította a támogatás megszűnését 2027. október 1-jéről 2025. december 31-re. A felhasználóknak át kell térniük az SMA 1000 sorozatra.