A SonicWall lançou uma atualização crítica de firmware (versão 10.2.2.2-92sv) para eliminar o rootkit OVERSTEP que compromete dispositivos SMA 100 em fim de vida útil. O malware, implantado pelo grupo UNC6148, mantém acesso persistente mesmo após patches anteriores e pode levar a ataques de ransomware.
O rootkit foi descoberto pelo Google Threat Intelligence Group em campanha ativa do grupo UNC6148, que compromete dispositivos SMA 100 mesmo com patches de segurança previamente atualizados. O malware é altamente sofisticado: modifica o processo de boot, mantém persistência através de componentes ocultos, estabelece shells reversos e rouba credenciais, OTP seeds e certificados.
Recomendações:
- Aplicar imediatamente: Instalar o firmware versão 10.2.2.2-92sv em todos os dispositivos SMA 100.
- Análise forense: Adquirir imagens de disco para análise forense antes da remediação, com suporte da SonicWall se necessário.
- Resetar credenciais: Resetar todas as credenciais, incluindo senhas e vinculações OTP para todos os usuários do dispositivo.
- Revogar certificados: Revogar e reemitir certificados com chaves privadas armazenadas no dispositivo.
- Monitorar comprometimento: Buscar indicadores de comprometimento como arquivos suspeitos, requisições web maliciosas e sessões VPN anômalas.
SEK está monitorando ativamente o caso e permanece à disposição para auxiliar seus clientes na implementação das medidas necessárias e análise de potencial comprometimento.
