出典:agefotostock(Alamy Stock Photo経由)
SonicWallは、顧客がルートキット型マルウェアを削除できるようにするファームウェアアップデートをリリースしました。ルートキット型マルウェアは、脅威アクターが管理者レベルのアクセス権を持ちながら検知されずに活動できるよう設計されたマルウェアの一種です。
このマルウェアは、SonicWall Secure Mobile Access(SMA)100シリーズ製品(SMA 210、410、500vなど)を標的としています。SMAの企業向けアプライアンスは、オンプレミス、クラウドベース、ハイブリッドなデータセンターでホストされるアプリケーションへのアクセスを、管理されたデバイスおよび未管理のリモートデバイスから提供する統合セキュアアクセスゲートウェイです。
新しいファームウェアアップデートを適用すると、追加のファイルチェック機能が提供され、「SMAデバイス上に存在する既知のルートキット型マルウェアを削除する能力が提供される」と、SonicWallが昨日公開したアドバイザリで述べられています。
SonicWallは、特にSonicWall SMA 100デバイスが10月1日にサポート終了を迎えるため、ユーザーに対し保護策としてバージョン10.2.2.2-92svへのアップグレードを強く推奨しています。
このアドバイザリは、MySonicWallクラウドバックアップファイルのインシデントで影響を受けた顧客を支援するために公開されました。先週SonicWallがこの件を調査した結果、悪意のあるアクターがMySonicWall.comウェブポータルに対してブルートフォース攻撃を行い、顧客情報へのアクセスを試みていたことが判明しました。
UNC6148サイバー脅威グループが持続的なアクセスを獲得
一方、SonicWallのSMAを悪用するキャンペーンが継続中であると、Google Threat Intelligence Group(GTIG)の研究者は7月のレポートで報告しています。これらの攻撃はUNC6148として追跡されている脅威アクターによるもので、過去の侵害で盗まれた認証情報やワンタイムパスワードのシードを利用している可能性が高いとされています。
現在、この脅威アクターは研究者が「これまで知られていなかった持続的バックドア/ユーザーモードルートキット」と表現するものを展開しており、OVERSTEPとして追跡されています。
「我々の分析によると、このマルウェアはアプライアンスの起動プロセスを改変し、持続的なアクセスを維持し、機密認証情報を盗み、自身のコンポーネントを隠蔽します」と研究者は述べています。また、攻撃者が検知を回避するためにログエントリを削除したり、ファイルや活動を隠したりすることも可能です。最近の一連の攻撃では、「UNC6148は、機会的に標的となったSonicWall SMAアプライアンスにOVERSTEPを展開するため、未知のゼロデイリモートコード実行脆弱性を利用した可能性があります」と付け加えています。
Google TAGの研究者は、UNC6148が過去に悪用した可能性のある複数の脆弱性が存在すると指摘しています。これには、CVE-2021-20038(メモリ破損の脆弱性)、CVE-2024-38475(認証不要のパストラバーサル脆弱性)、CVE-2021-20035およびCVE-2021-20039(認証済みリモートコード実行脆弱性)、CVE-2025-32819(認証済みファイル削除脆弱性)が含まれます。
SonicWallの研究者は、SMAのログに欠落や削除がある、アプライアンスが予期せず再起動する、持続的または説明のつかない管理者セッションがある、ユーザーの許可なしに構成変更が行われている、パッチ適用やリセット後も再度アクセスが発生する場合、侵害されている可能性があると指摘しています。
これらの兆候が見られる場合、CISAおよび研究者は、ユーザーに対し、直ちにファームウェアをアップグレードし、SMA 500vを交換・再構築し、すべてのユーザーのワンタイムパスワード(OTP)バインディングをリセットし、すべてのユーザーに多要素認証(MFA)を強制する、すべてのパスワードをリセットする、アプライアンス上に保存された秘密鍵付き証明書を交換するなどの強化策を適用することを推奨しています。