Selon BleepingComputer (Sergiu Gatlan, 23 septembre 2025), SonicWall a publié un nouveau firmware pour les appliances SMA 100 afin d’aider à retirer un rootkit observé dans des attaques récentes.
🛡️ SonicWall annonce la version de firmware SMA 100 10.2.2.2-92sv avec vérifications de fichiers renforcées permettant de retirer des rootkits connus présents sur les équipements. L’éditeur recommande fortement la mise à niveau pour les SMA 210, 410 et 500v.
🔎 Contexte menace: en juillet, le Google Threat Intelligence Group (GTIG) a observé l’acteur UNC6148 déployer le malware OVERSTEP sur des appareils SMA 100 en fin de vie, dont le support se termine le 1er octobre 2025. OVERSTEP est un rootkit en mode utilisateur qui assure une persistance (composants cachés, reverse shell) et exfiltre des fichiers sensibles (dont les fichiers persist.database et certificats), exposant identifiants, graines OTP et certificats.
🧩 Les chercheurs notent des chevauchements avec des incidents liés au ransomware Abyss. Fin 2023, Truesec a documenté un cas où un web shell a été installé sur une appliance SMA, permettant de maintenir la persistance malgré des mises à jour de firmware. En mars 2024, Stephan Berger (InfoGuard AG) a signalé une compromission SMA similaire menant au déploiement d’Abyss.
📣 Rappel de contexte SonicWall: la semaine précédente, la société a averti de réinitialiser les identifiants après l’exposition de sauvegardes de configuration de firewall à des attaques par force brute visant l’API de sauvegarde cloud. En août, SonicWall a démenti l’usage d’un 0‑day par le gang Akira contre les firewalls Gen 7, précisant qu’il s’agissait de la vulnérabilité CVE-2024-40766 corrigée en novembre 2024. L’ACSC et Rapid7 ont ensuite confirmé qu’Akira exploite cette faille sur des équipements non patchés.
IoCs et TTPs mentionnés:
- IoCs: malware OVERSTEP; fichiers ciblés: persist.database, fichiers de certificats; vulnérabilité citée: CVE-2024-40766 (contexte Akira)
- TTPs: rootkit en mode utilisateur, reverse shell, vol de fichiers sensibles (identifiants, graines OTP, certificats), persistance via web shell (résistant aux mises à jour), attaques par force brute de l’API de sauvegarde cloud, exploitation de vulnérabilité sur équipements non patchés
Type d’article: article de presse spécialisé annonçant une mise à jour visant à retirer un rootkit et rappelant le contexte menace et incidents connexes.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/sonicwall-releases-sma100-firmware-update-to-wipe-rootkit-malware/