SonicWall緊急釋出SMA 100系列更新，防範Rootkit程式Overstep攻擊

網路安全設備業者SonicWall本周緊急發布安全公告SNWLID-2025-0015，提供小型防火牆硬體SMA 100系列韌體更新10.2.2.2-92sv，目的是防範rootkit程式Overstep的攻擊行動。

這波更新是7月中發布SNWLID-2025-0014的韌體更新的強化版，加入檔案檢查功能，可移除SMA裝置上已經存在的rootkit程式。

Google威脅情報小組(Google Threat Intelligence Group, GTIG)今年稍早發現，一個編號UNC 6148的駭客組織發動零時差攻擊。歹徒濫用SMA 100系列韌體上的CVE-2025-40599漏洞，植入rootkit程式OVERSTEP。

GTIG指出，這是個高明的user mode程式，能隱藏元件、刪除log不被偵測而在受害裝置內長期留存，還能建立reverse shell竊取敏感資料，包括管理員憑證、一次性密碼種子(Seed)，即使企業安裝了安全更新後，依然能持續存取裝置。

前一波的攻擊中，駭客鎖定的目標是即將在10月1日終止技術支援生命周期的SMA 100系列，至少在今年5月就有受害者，並遭到UNC 6148公開受害企業身份。

由於沒有其他替代的緩解措施，SonicWall強烈建議執行舊版韌體的企業用戶應及早升級，即使7月已安裝10.2.1.15-81sv版本的用戶，也要依照指示套用新版韌體。