Google 发现 SonicWall 网络设备上安装了自定义后门

快速阅读: 据《Ars Technica》最新报道，谷歌威胁情报小组称，黑客组织UNC6148正攻击停产的SonicWall SMA设备。他们利用多个漏洞及后门Overstep入侵系统，可能掌握零日漏洞。建议组织进行取证分析。

据谷歌威胁情报小组（GTIG）发布的一份报告，7月12日，黑客组织UNC6148正在针对已停产的SonicWall Secure Mobile Access（SMA）设备发起攻击。这些设备通常用于管理企业网络边缘的移动设备访问和安全，但由于已停产，不再接收常规的安全更新，因此成为黑客的主要目标。

GTIG建议所有拥有SMA设备的组织进行分析，以确定是否已被入侵。报告建议，组织应获取磁盘映像进行取证分析，以避免受到根套件反取证功能的干扰。必要时，组织还需与SonicWall合作，从物理设备中捕获磁盘映像。

然而，关于此次攻击的具体细节仍不明确。目前，已知这些攻击利用了目标设备上的本地管理员凭据，但这些凭据是如何被获取的尚不清楚。此外，UNC6148可能利用了多个漏洞，包括：

– CVE-2021-20038：由于内存损坏漏洞，可实现未认证的远程代码执行。
– CVE-2024-38475：Apache HTTP Server中的未认证路径穿越漏洞，存在于SMA 100中，可用于提取存储用户账户凭证、会话令牌及生成一次性密码的种子数据的SQLite数据库。
– CVE-2021-20035：经过身份验证的远程代码执行漏洞，已在四月份被报告持续利用。
– CVE-2021-20039：经过身份验证的远程代码执行漏洞，据报道在2024年被用于安装勒索软件。
– CVE-2025-32819：经过身份验证的文件删除漏洞，可使攻击者将目标设备的内置管理员凭据重置为默认密码，从而获得管理员访问权限。

此外，攻击者安装了一种名为Overstep的自定义后门恶意软件，该软件允许攻击者有选择地删除日志条目，这进一步增加了取证调查的难度。报告还指出，UNC6148可能掌握了一个零日漏洞，即尚未公开的漏洞。

(以上内容均由Ai生成)