SonicWallは、最近のキャンペーンで展開されたOverstepマルウェアをユーザーが除去できるよう、SMA 100アプライアンス向けに新たなソフトウェアアップデートをリリースしました。
この攻撃は、Googleの脅威インテリジェンスグループによって7月に報告されており、UNC6148として追跡されている脅威アクターが、完全にパッチが適用されたSMAアプライアンスに、認証情報、セッショントークン、ワンタイムパスワードシードの窃取をサポートする永続的なバックドアおよびユーザーモードのルートキットを感染させました。
この脅威アクターは、おそらく過去の攻撃で盗まれたローカル管理者の認証情報を、デバイスにパッチが適用される前に、CVE-2025-32819、CVE-2024-38475、CVE-2021-20035、CVE-2021-20038およびCVE-2021-20039などの既知の脆弱性を悪用して入手したとみられています。
7月には、GoogleがSonicWallの顧客向けに、UNC6148による攻撃を特定・遮断するためのIoC(侵害の痕跡)および検出ルールを公開しました。
今週、SonicWallはSMA 100ソフトウェアバージョン10.2.2.2-92svのリリースを発表しました。このバージョンには「追加のファイルチェック機能が含まれており、SMAデバイス上に存在する既知のルートキットマルウェアを除去する能力が提供されます」。
SonicWallによると、10.2.1.15-81sv以前のソフトウェアバージョンを実行しているすべてのSMA 210、410、および500vアプライアンスが影響を受けます。
同社は、SMA 100シリーズアプライアンスを利用しているすべての組織に対し、7月のアドバイザリで示されたセキュリティ対策を確認し、実施するよう強く推奨しています。
今月初め、SonicWallは2025年10月1日をもってSMA100デバイスのサポートを終了すると発表し、顧客に対し「より安全で最新のリモートアクセスソリューション」への移行を促すとともに、対象となるSMA100アプライアンスには無償交換オプションを提供しています。
広告。スクロールして続きをお読みください。
「レガシーVPNアプライアンスに存在する重大な脆弱性のため、SonicWallは2025年10月31日にすべてのSMA100アプライアンスを無効化します。この日以降、すべてのSMA100アプライアンスは接続性を失い、機能しなくなります。セキュリティと接続性を継続的に確保するため、パートナーおよび顧客は2025年10月31日までに代替のSonicWallソリューションへ移行する必要があります」と同社は述べています。
SonicWallは、2027年10月31日以降までサポート期間が延長されているSMA100アプライアンスについては、引き続きサポートを提供する可能性があります。
関連記事: SonicWall、ハッカーによるファイアウォール設定流出後にパスワードリセットを促す
関連記事: Libraesvaメールセキュリティゲートウェイの脆弱性、国家支援ハッカーに悪用される
翻訳元: https://www.securityweek.com/sonicwall-updates-sma-100-appliances-to-remove-overstep-malware/