SonicWall lança atualização de firmware SMA100 para eliminar malware rootkit

01/10/2025 mindsecblog Notícias 0

A SonicWall lançou uma atualização de firmware que pode ajudar os clientes a remover malware rootkit implantado em ataques direcionados a dispositivos da série SMA 100.

“A compilação SonicWall SMA 100 10.2.2.2-92sv foi lançada com verificação adicional de arquivos, fornecendo a capacidade de remover malware rootkit conhecido presente nos dispositivos SMA”, disse a empresa em um Aviso de segunda-feira.

“A SonicWall recomenda fortemente que os usuários dos produtos da série SMA 100 (SMA 210, 410 e 500v) atualizem para a versão 10.2.2.2-92sv.”

A atualização segue um relatório de julho de pesquisadores do Google Threat Intelligence Group (GTIG), que observaram um agente de ameaça rastreado como UNC6148 implantando malware OVERSTEP em dispositivos SonicWall SMA 100 de fim de vida útil (EoL) que chegarão ao fim do suporte na próxima semana, em 1o de outubro de 2025.

OVERSTEP é um rootkit em modo de usuário que permite que invasores mantenham acesso persistente usando componentes maliciosos ocultos e estabelecendo um shell reverso em dispositivos comprometidos. O malware rouba arquivos confidenciais, incluindo o persist.arquivos de banco de dados e certificados, fornecendo aos hackers acesso a credenciais, sementes OTP e certificados que permitem ainda mais a persistência.

Embora os pesquisadores não tenham determinado o objetivo por trás dos ataques do UNC6148, eles encontraram “sobreposições notáveis” com incidentes de ransomware relacionados ao Abyss.

Por exemplo, no final de 2023, a Truesec investigou um incidente de ransomware Abyss no qual hackers instalaram um shell da web em um dispositivo SMA, permitindo-lhes manter a persistência apesar das atualizações de firmware. Em março de 2024, o socorrista de incidentes da InfoGuard AG, Stephan Berger, relatou um comprometimento semelhante do dispositivo SMA que também resultou na implantação do malware Abyss.

“O relatório de inteligência de ameaças do Google Threat Intelligence Group (GTIG) destaca o risco potencial de usar versões mais antigas do firmware SMA100”, acrescentou a SonicWall na segunda-feira, instando os administradores a implementar as medidas de segurança descritas em este aviso de julho.

Na semana passada, SonicWall alertou os clientes para redefinirem as credenciais depois que seus arquivos de backup de configuração de firewall foram expostos em ataques de força bruta direcionados ao serviço de API para backup em nuvem.

Em agosto, a empresa também reivindicações rejeitadas que a gangue de ransomware Akira estava hackeando firewalls da Geração 7 usando uma potencial exploração de dia zero, esclarecendo que o problema estava vinculado a uma vulnerabilidade crítica (CVE-2024-40766) que foi corrigida em novembro de 2024.

O Centro Australiano de Segurança Cibernética (ACSC) e a empresa de segurança cibernética Rapid7 confirmaram posteriormente que a gangue Akira é explorando esta vulnerabilidade para atingir dispositivos SonicWall sem patches.