Недавнее расследование Google Threat Intelligence Group выявило новую, крайне опасную угрозу для пользователей сетевого оборудования SonicWall. Специалисты обнаружили, что неизвестная хакерская группа с кодовым названием UNC6148 осуществляет взлом устаревших устройств SonicWall Secure Mobile Access (SMA), устанавливая на них индивидуально разработанный бэкдор под названием Overstep. Эта атака способна существенно подорвать безопасность корпоративных сетей, поскольку затрагивает критически важные узлы, отвечающие за управление мобильным доступом и защиту взаимодействия с удалёнными сотрудниками. Устройства SMA от SonicWall предназначены для контроля и обеспечения безопасности мобильных подключений в организациях. Они фактически выступают шлюзом, через который проходят все подключения от мобильных пользователей к внутренним ресурсам.
К сожалению, многие компании продолжают эксплуатировать такие устройства в статусе end of life, то есть без регулярных обновлений безопасности и исправления уязвимостей. Это делает оборудование лакомой целью для злоумышленников. UNC6148 удалось получить доступ к этим устройствам, используя украденные или скомпрометированные локальные учётные данные администратора. Способ получения этих учётных данных пока неизвестен, но есть предположения о возможном использовании утечек данных из других источников или взломах других систем с последующим распространением доступа. После получения доступа злоумышленники устанавливают фирменное вредоносное ПО Overstep, которое выполняет функции скрытого бэкдора.
Уникальной особенностью этого бэкдора является способность selectively удалять записи из журналов событий и логов устройства, что серьёзно усложняет обнаружение взлома и затрудняет проведение расследований безопасности и судебных экспертиз. Такая функция anti-forensics является чрезвычайно опасной, так как она помогает злоумышленникам оставаться незамеченными длительное время, вести скрытую деятельность и может служить основой для дальнейших атак внутри корпоративной сети. Помимо этого, исследователи выдвигают предположение о том, что UNC6148 может использовать неизвестную ранее уязвимость (zero-day), которая даёт возможность обойти встроенные механизмы безопасности и получить доступ к оболочке устройства через обратный шелл с веб-интерфейсом. Эта угроза особенно опасна, так как официально такие возможности получить доступ к командной оболочке на таких устройствах не предусмотрены. Специалисты Google вместе с командой по реагированию на инциденты SonicWall пытаются понять точный путь проникновения и механизмы эксплуатации уязвимостей, но пока детальные технические детали и мотивация злоумышленников остаются нераскрытыми.
Считается, что к наиболее вероятным используемым уязвимостям относятся несколько известных проблем в ПО SMA версии от 2021 и 2024 годов. Среди них - ошибки удаленного выполнения кода, обход аутентификации, путь обхода безопасности Apache HTTP Server, возможность удаления файлов для перепрошивки паролей администратора и другие. Некоторые из этих уязвимостей уже фиксировались в активных атаках в 2024 году, что свидетельствует о высокой вероятности их использования организованными группами. При этом, поскольку для эксплуатации ряда уязвимостей необходимо начальное наличие легитимных учётных данных, возможен комплексный сценарий с использованием сразу нескольких методов взлома, кражи и повторного использования учётных записей. Текущая ситуация вызывает серьёзную обеспокоенность с точки зрения информационной безопасности.
Отдельные компании могут даже не догадываться, что их сетевое оборудование скомпрометировано из-за того, что вредоносный бэкдор удаляет критически важные логи. Для пользователей SMA рекомендуется немедленно провести детальное исследование состояния устройств на предмет возможной компрометации. Специалисты советуют создавать снимки дисков оборудования для последующего судебного анализа, привлекать профессиональных экспертов и тесно сотрудничать с командой безопасности SonicWall. Помимо технических мер, крайне важно пересмотреть актуальность использования аппаратов, которые находятся в статусе end of life. В большинстве случаев продление жизни устаревших устройств за счёт обходных мер представляет собой серьёзный риск, и рациональным решением является обновление сетевой инфраструктуры с установкой актуальных моделей, которые получают регулярные патчи безопасности и поддержку производителя.
В современном мире киберугрозы становятся всё более изощрёнными, и классические методы защиты часто оказываются недостаточными. Случай с SonicWall SMA является наглядным примером того, как уязвимости и пренебрежение обновлениями могут привести к масштабным проблемам безопасности и значительным бизнес-рискам. Обнаружение и анализ такого рода инцидентов требуют внимания со стороны IT-специалистов, руководства и внешних консультантов. Важно также наладить процесс мониторинга и аудита систем безопасности, при котором любая аномалия в работе логов или изменениях в конфигурациях воспринимается как потенциальная угроза и проверяется максимально быстро и тщательно. Отдельного внимания заслуживает повышение квалификации сотрудников и клиентов по вопросам безопасности и инцидентов, чтобы своевременно реагировать на возможные признаки взлома и минимизировать ущерб.
В итоге, выявленный Google Threat Intelligence Group бэкдор в SonicWall Secure Mobile Access служит серьёзным предупреждением всем владельцам корпоративных сетей и IT-администраторам. Необходимо внимательно отслеживать обновления безопасности, регулярно проверять состояние устройств, внедрять современные решения по защите и не пренебрегать рекомендациями экспертов. Только системный подход к безопасности способен защитить бизнес от угроз, подобных атаке UNC6148 и вредоносному ПО Overstep, и обеспечить надёжную работу сетевой инфраструктуры в условиях нарастающего давления со стороны злоумышленников.
