SonicWall已发布紧急固件更新(版本10.2.2.2-92sv),用于其Secure Mobile Access(SMA)100系列设备,以检测并清除已知的 rootkit 恶意软件。
这份编号为SNWLID-2025-0015的公告发布于2025年9月22日,强烈建议所有SMA 210、410和500v设备的用户立即安装更新,以防范持续存在的威胁。
此次发布新增了文件检查功能,旨在从受感染的系统中清除恶意软件。
此次更新直接针对谷歌威胁情报小组(GTIG)2025年7月报告中强调的威胁。研究人员详细介绍了一个名为UNC6148的威胁行为者发起的攻击活动,该活动在已终止支持(EoL)的SonicWall SMA 100设备上部署了OVERSTEP恶意软件。
OVERSTEP是一种复杂的用户模式 rootkit,它能让攻击者通过隐藏组件维持持久访问权限、建立反向shell并窃取敏感数据。
被盗文件可能包括凭证、一次性密码(OTP)种子和证书,这使得攻击者即使在固件更新后也能获得长期的持久访问权。
针对正在被积极利用的漏洞发布补丁
此次固件的发布是打击野外活跃利用行为的关键一步。GTIG报告指出,OVERSTEP rootkit已被部署在即将于2025年10月1日达到支持终止日期的SMA设备上。
虽然谷歌的研究人员无法确切确定初始访问途径,但他们观察到UNC6148的活动与涉及“深渊”勒索软件的事件存在显著重叠。在以往的攻击中,威胁行为者会在SMA设备上安装网页木马,以在系统更新后仍能保持其立足点。
SonicWall的安全公告认可了谷歌列出的风险,并敦促管理员实施7月相关知识库文章中详述的安全措施。
该公司全年一直在积极解决其SMA 100设备中的一系列漏洞。2025年5月,它修复了三个漏洞(CVE-2025-32819、CVE-2025-32820、CVE-2025-32821),这些漏洞可被链式利用以实现远程代码执行。另一个严重漏洞CVE-2025-40599于7月修复,以防止经过身份验证的任意文件上传。
SonicWall强调,对于运行10.2.1.15-81sv及更早版本的受影响设备,这款新固件是主要的修复措施,目前没有可用的替代解决方法。
该公告澄清,此漏洞不会影响SonicWall SSL VPN SMA 1000系列产品或其防火墙上运行的SSL-VPN功能。
鉴于SMA 100系列面临的活跃威胁及其日益临近的停止支持日期,建议各组织优先进行此次更新,以防止遭受攻击和数据泄露。
升级前,管理员应检查设备日志以寻找入侵迹象,重置所有凭据,并重新初始化一次性密码绑定,以此作为预防措施。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
