Google виявив уразливість у пристроях SonicWall SMA

Оновлено: 20 липня 2025 року – Дослідники з групи загроз Google (GTIG) виявили складний індивідуальний бекдор, названий Overstep, який використовує загрозливий актор UNC6148 на пристроях SonicWall Secure Mobile Access (SMA). Ця кампанія націлена на застарілі пристрої, які продовжують працювати на мережевому краю багатьох підприємств по всьому світу.

Огляд загрози

Пристрої SonicWall SMA забезпечують автентифікацію та безпечний доступ для мобільних і віддалених користувачів. Пристрої, що досягли статусу завершення підтримки, більше не отримують критично важливих оновлень безпеки, що робить їх привабливими цілями. Аналіз GTIG показує, що UNC6148 використовує вкрадені або витеклі локальні адміністративні облікові дані та, можливо, уразливості нульового дня для встановлення Overstep, який уникає виявлення, очищаючи системні журнали.

Ключові висновки

• UNC6148 зламав шлюзи SMA, зловживаючи відкритими обліковими даними або невідомими програмними вразливостями.
• Бекдор Overstep вибірково очищає журнали автентифікації та системних подій, ускладнюючи судово-технічні розслідування.
• Дослідники підозрюють використання принаймні одного експлоїту нульового дня для встановлення несанкціонованого зворотного з’єднання.
• SonicWall випустив термінові оновлення прошивки 18 липня 2025 року, які усувають три вразливості, що розслідуються.

Можливі вразливості

Хоча GTIG не підтвердив конкретну CVE, наступні відомі проблеми залишаються основними підозрюваними:

1. CVE-2021-20038 – Неавтентифікований віддалений код через корупцію пам’яті.
2. CVE-2024-38475 – Перехід по шляху в вбудованому сервері Apache HTTP; викриває сховища облікових даних SQLite.
3. CVE-2021-20035 – Автентифіковане виконання віддаленого коду, раніше експлуатоване в квітні 2025 року.
4. CVE-2021-20039 – Автентифіковане виконання коду, використане для зараження програмами-вимагачами у 2024 році.
5. CVE-2025-32819 – Автентифіковане видалення файлів скидає паролі адміністратора за замовчуванням.

“Доступ до оболонки не повинен бути можливим за визначенням,” зазначає GTIG. “Ми ще не визначили, як UNC6148 встановив своє зворотне з’єднання, що свідчить про наявність принаймні одного невідомого експлоїту нульового дня.”

Технічний аналіз: можливості бекдора Overstep

Overstep є багатокомпонентним руткітом, що поєднує модулі користувацького рівня та ядра. Його ключові особливості включають:

• Сховане очищення журналів: Взаємодіє з syslog та спеціальними демонстраційними службами для видалення подій автентифікації.
• Зашифроване управління (C2): Використовує власний потік шифрування на основі XOR, накладений на TLS 1.2 для ексфільтрації даних.
• Модульний завантажувач плагінів: Підтримує ін’єкцію додаткових навантажень у пам’ять, таких як інструменти для збору облікових даних або інструменти для переміщення по мережі.

Аналіз пам’яті показує, що компонент ядра Overstep перехоплює системні виклики execve, надаючи зловмисникам постійні привілеї адміністратора навіть після перезавантаження.

Рекомендації щодо пом’якшення та реагування

У світлі цих висновків GTIG та SonicWall PSIRT рекомендують вжити наступні термінові заходи:

1. Ізолюйте всі пристрої SMA та отримайте образи дисків для офлайн-судово-технічного аналізу.
2. Встановіть патчі SonicWall від 18 липня 2025 року, які усувають CVE-2024-38475, CVE-2025-32819 та пов’язані вразливості.
3. Скидайте всі облікові дані адміністратора та службових облікових записів після патчу, використовуючи генератори паролів, що відповідають стандарту FIPS 140-2.
4. Запровадьте рішення EDR на рівні мережі для виявлення аномальних схем вихідного трафіку TLS, що вказують на канали C2 Overstep.
5. Залучіть сторонні компанії з реагування на інциденти для пошуку індикаторів компрометації, таких як спеціальні заголовки TLS SNI та аномальні сесії syslog.

Думки експертів та реакція галузі

“Механізм безшумного очищення журналів є особливо небезпечним,” зазначає доктор Лаура Майер, технічний директор SecureOps Labs. “Це фактично надає зловмиснику безмежний час перебування всередині системи. Організації повинні припускати компрометацію та відновлювати уражені кінцеві точки з відомих добрих образів.”

Агентство з кібербезпеки та безпеки інфраструктури (CISA) видало термінову директиву, що зобов’язує федеральні агентства США провести аудит всіх пристроїв віддаленого доступу на наявність ознак активності Overstep до 1 серпня 2025 року.

Перспективи та регуляторні наслідки

Цей інцидент підкреслює критичний ризик, пов’язаний із застарілими мережевими пристроями. Експерти галузі прогнозують посилення регуляторних вимог щодо управління життєвим циклом та обов’язкових вікон для патчів. У відповідь кілька компаній зі списку Fortune 500 оголосили про плани переходу на хмарні VPN-рішення з вбудованими автоматизованими оновленнями.

Висновок

Виявлення Overstep командою GTIG підкреслює термінову потребу організацій у виведенні з експлуатації непідтримуваних пристроїв, дотриманні суворих стандартів безпеки облікових даних та впровадженні проактивних практик виявлення загроз. Зважаючи на складні руткіти, що стирають сліди, лише ретельна судово-технічна експертиза та реальний моніторинг можуть стати бар’єром між UNC6148 і масовими витоками даних.