SonicWall已針對旗下SMA 100系列設備發布緊急韌體更新,新增檔案檢查功能,協助用戶清除由駭客組織UNC6148部署的越界使用者模式rootkit惡意程式。
此次更新源自Google威脅情報小組(GTIG)於今年7月發布的報告。該報告指出,代號UNC6148的駭客組織長期在即將停止支援的SonicWall SMA 100設備上部署越界惡意程式。
越界是一種運行在使用者層級的rootkit惡意程式,透過隱藏惡意組件並在受感染設備上建立反向Shell,使攻擊者能維持持續存取權限。該惡意程式專門竊取敏感檔案,包括持久化資料庫和憑證檔案,藉此獲取認證資訊、OTP種子碼和數位憑證,達到長期控制目標系統的目的。
與Abyss勒索軟體攻擊存在關聯性
雖然研究人員尚未確定UNC6148的具體攻擊目標,但發現這些攻擊活動與Abyss勒索軟體事件存在「顯著重疊」。
2023年底,資安公司Truesec調查Abyss勒索軟體事件時發現,駭客在SMA設備上安裝 Web Shell,能在韌體更新後仍保持存取權限。2024年3月,InfoGuard AG資安應變專家Stephan Berger也報告類似的SMA設備入侵事件,同樣導致Abyss惡意軟體植入。
最令資安專家憂慮的是,攻擊者能在目標設備上建立反向殼層,這種情況本不應發生。儘管Mandiant和SonicWall產品安全事件應變團隊(PSIRT)都無法確定具體入侵手法,但推測可能涉及未知漏洞。
SonicWall在後續安全公告中確認,攻擊者利用CVE-2024-38475漏洞劫持現有的本地管理員SSL VPN連線,為惡意程式植入提供管道。
緊急應變措施與韌體更新
SonicWall強烈建議受影響組織立即採取措施:升級或重新建置受影響設備,確保rootkit惡意程式完全移除;更換所有帳戶憑證,包括管理員、本地及目錄使用者帳戶,同時替換儲存在設備上具有私鑰的憑證,並要求使用者在下次登入時重新綁定行動認證應用程式;實施多項安全強化措施。
透過新版韌體,組織現在能直接移除rootkit惡意程式。SonicWall強烈建議SMA 100系列產品(SMA 210、410和500v)使用者升級至10.2.2.2-92sv版本。
最新韌體修補兩個重要資安漏洞:CVE-2024-38475和CVE-2025-40599。後者是需要身分驗證的檔案上傳漏洞,雖已被發現但目前尚未被攻擊者積極利用。
SonicWall SMA 100系列設備已停止銷售,且公司決定將停止支援日期從2027年10月1日提前至2025年10月31日。
鑒於SMA 100系列即將停止支援,目前仍使用這些設備的組織應考慮升級至SMA 1000系列設備,以確保長期獲得安全更新與技術支援。
此次事件凸顯停售設備面臨的資安風險,提醒企業應及時規劃老舊設備汰換,避免成為駭客組織長期潛伏的目標。資安專家建議組織應建立完善的設備生命週期管理機制,確保關鍵網路設備始終獲得適當的安全防護。
本文轉載自 BleepingComputer、HelpNetSecurity。