SonicWall je objavio novo softversko ažuriranje za svoje SMA 100 uređaje kako bi korisnicima omogućio uklanjanje Overstep malvera, koji je korišćen u nedavnoj hakerskoj kampanji.
Napadi, koje je u julu otkrio Google Threat Intelligence Group, sprovedeni su od strane grupe praćene pod oznakom UNC6148. Hakeri su kompromitovali potpuno ažurirane SMA uređaje instaliranjem trajnog backdoora i rootkita na nivou korisničkog moda, koji je omogućavao krađu akreditiva, sesionih tokena i seed-ova za jednokratne lozinke.
Za kompromitaciju su vjerovatno korišćeni lokalni administratorski nalozi ukradeni u ranijim napadima, prije nego što su uređaji zakrpljeni. Hakeri su pritom eksploatisali poznate ranjivosti, uključujući CVE-2025-32819, CVE-2024-38475, CVE-2021-20035, CVE-2021-20038 i CVE-2021-20039.
U julu je Google objavio indikatore kompromitacije (IoCs) i pravila detekcije kako bi SonicWall korisnici mogli da identifikuju i blokiraju UNC6148 napade.
Ove nedjelje SonicWall je najavio objavu softverske verzije 10.2.2.2-92sv za SMA 100 uređaje, koja sadrži „dodatne provjere fajlova i mogućnost uklanjanja poznatog rootkita prisutnog na ovim uređajima“. Pogođeni su svi SMA 210, 410 i 500v uređaji sa verzijom 10.2.1.15-81sv i starijim softverom.
Kompanija poziva sve organizacije koje koriste SMA 100 seriju da ponovo pregledaju i sprovedu bezbjednosne korake navedene u julskoj preporuci.
Ranije ovog mjeseca, SonicWall je najavio da od 1. oktobra 2025. više neće nuditi podršku za SMA 100 uređaje, savjetujući korisnicima prelazak na „modernija i bezbjednija rješenja za udaljeni pristup“. Kompanija nudi i besplatne zamjenske opcije za određene modele.
Zbog ozbiljnih ranjivosti u starijim VPN uređajima, SonicWall će 31. oktobra 2025. deaktivirati sve SMA 100 uređaje. Nakon tog datuma oni će izgubiti konekciju i prestati da funkcionišu. Da bi obezbijedili neprekidnu zaštitu i povezivost, korisnici i partneri moraju migrirati na alternativno rješenje prije ovog roka, navodi se u saopštenju kompanije.
SonicWall može nastaviti da pruža podršku za SMA 100 uređaje kojima ugovor o podršci ističe nakon 31. oktobra 2027. godine.
Izvor: SecurityWeek
