Производитель сетевого оборудования SonicWall выпустил экстренный патч для устранения опасного руткита под названием OVERSTEP, обнаруженного в прошивках линейки устройств Secure Mobile Access (SMA) 100 Series. Скрытое вредоносное программное обеспечение, классифицируемое как бэкдор, обеспечивает злоумышленникам устойчивый неавторизованный доступ к скомпрометированным устройствам. Новая версия прошивки 10.2.2.2-92sv включает дополнительные проверки целостности файлов для обнаружения и удаления этой угрозы.
Проблема была официально задокументирована в бюллетене безопасности SonicWall Advisory SNWLID-2025-0015, опубликованном 22 сентября 2025 года и сразу же помеченном как критическая. Под угрозой находятся модели SMA 210, SMA 410 и SMA 500v. Хотя компания не присвоила уязвимости идентификатор CVE и не оценила ее по шкале CVSS, в бюллетене подчеркивается значительный риск из-за способности руткита уклоняться от стандартных методов обнаружения. Исходный анализ угрозы был подробно представлен Группой разведки угроз Google (Google Threat Intelligence Group, GTIG), которая описала механизмы эксплуатации устаревших прошивок SMA для установки бэкдоров и кражи конфиденциальных данных.
Главная опасность руткита OVERSTEP заключается в его персистентности - способности сохранять неавторизованный доступ даже после перезагрузки устройства и проведения стандартных проверок безопасности. Это позволяет атаковавшей стороне длительное время оставаться в системе, похищать учетные данные, перехватывать внутренний сетевой трафик и развертывать дополнительное вредоносное программное обеспечение, такое как программы-вымогатели (ransomware). На текущий момент не зафиксировано публичных отчетов о массовых атаках с использованием этой уязвимости, однако сочетание скрытности и функций удаленного управления делает OVERSTEP серьезной угрозой для корпоративной безопасности.
Выпущенное обновление не только удаляет компоненты руткита, но и усиливает защиту операционной системы SMA от аналогичных угроз на уровне ядра в будущем. Компания SonicWall настоятельно рекомендует всем клиентам, использующим устройства SMA 100 Series с прошивкой версии 10.2.1.15-81sv или старше, немедленно установить патч. ИТ-специалистам следует исходить из того, что любое устройство с неподдерживаемой версией прошивки уже могло быть скомпрометировано. Важно отметить, что данная проблема не затрагивает более старую линейку SMA1000 Series, а также сервис SSL-VPN на стандартных межсетевых экранах SonicWall.
Процедура обновления требует от администраторов входа в панель управления (dashboard) SMA и выполнения стандартной процедуры обновления прошивки. После установки патча необходимо провести полное сканирование файловой системы устройства, чтобы убедиться в полном удалении следов руткита OVERSTEP. Помимо этого, SonicWall советует организациям выполнить ряд дополнительных действий для обеспечения безопасности. К ним относятся тщательный анализ сетевых логов на предмет признаков неавторизованного доступа, особенно за периоды, когда использовались уязвимые версии прошивки. Также крайне рекомендуется обновить все учетные данные, которые могли храниться или обрабатываться на устройстве SMA, и усилить мониторинг сетевой активности на предмет аномалий после устранения угрозы.
Для сетевых инфраструктур, в которых устройства SMA 100 Series работают в связке с другими продуктами SonicWall, может потребоваться координация процессов обновления и проверки для обеспечения комплексной защиты всей сети. Своевременная установка экстренного патча является ключевым шагом для сохранения безопасности инфраструктуры удаленного доступа и поддержания целостности внутренних корпоративных сетей. Игнорирование данного обновления создает значительные риски, позволяя злоумышленникам получить долговременный контроль над критически важными сетевыми шлюзами.
