Nový firmvér pre zariadenia SonicWall SMA 100 dokáže odstrániť známe rootkity

Spoločnosť SonicWall vydala aktualizáciu firmwaru pre svoje zariadenia série SMA 100, ktorá zavádza pokročilú kontrolu integrity súborov a dokáže identifikovať a odstrániť známe rootkity. Hackerská skupina UNC6148 zneužívala zraniteľnosti webového servera Apache CVE-2024-38475 a SMA 100 CVE-2025-40599 na šírenie rootkitu OVERSTEP.

Zraniteľné systémy:

  • Zariadenia SonicWall série SMA 100 (SMA 210, 410, 500v) s firmvérom vo verzii staršej ako 10.2.2.2-92sv

Pozn.: SonicWall 1. októbra 2025 ukončil  poskytovanie technickej podpory pre SMA 100

Opis:

Nový update firmvéru pre zariadenia SMA (Secure Mobile Access) série SMA 100 zavádza pokročilú kontrolu integrity súborov, pomocou ktorej dokáže identifikovať a odstrániť známe rootkity.

Podľa analýzy GTIG (Google Threat Intelligence Group) z júla 2025 hackerská skupina UNC6148 aktívne zneužívala kritické zraniteľnosti CVE-2024-38475, CVE-2025-40599 na infekciu rootkitom OVERSTEP. Malware zabezpečoval perzistentný prístup, vytváral reverzný shell a exfiltroval citlivé údaje ako persist.database, certifikáty, prihlasovacie údaje a OTP seedy. Tie útočníci zneužívali na realizáciu ďalších útokov.

Možné škody:

  • Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu firmvéru zariadení série SMA 100 na verziu 10.2.2.2-92sv. Výrobca taktiež vyzýva na implementáciu odporúčaní z júla 2025, ktoré okrem aktualizácie firmvéru vyzývajú aj na reset MFA tokenov a hardening zariadení. Vzhľadom na blížiaci sa dátum ukončenia poskytovania technickej podpory odporúčame včasný prechod na alternatívne produkty s platnou podporou.

Zdroje: