SonicWall đã phát hành một bản vá bảo mật phần mềm khẩn cấp cho các thiết bị dòng Secure Mobile Access (SMA) 100 của mình nhằm loại bỏ một rootkit nguy hiểm được biết đến với tên gọi ‘OVERSTEP.’ Mã độc backdoor này được phát hiện trong các phiên bản firmware SMA cũ hơn, có khả năng cung cấp cho kẻ tấn công quyền truy cập dai dẳng vào các thiết bị bị ảnh hưởng.

Phiên bản build mới, 10.2.2.2-92sv, đã được bổ sung khả năng kiểm tra tệp tin nâng cao để phát hiện và loại bỏ mối đe dọa ẩn này. SonicWall lần đầu tiên công bố Advisory SNWLID-2025-0015 vào ngày 22 tháng 9 năm 2025, và ngay lập tức đánh dấu đây là vấn đề nghiêm trọng đối với tất cả người dùng các mẫu SMA 210, SMA 410 và SMA 500v.

Bản Cập Nhật Khẩn Cấp loại bỏ OVERSTEP Rootkit

OVERSTEP rootkit đã được nhóm Google Threat Intelligence Group (GTIG) mô tả chi tiết trong một bài đăng trên blog, làm nổi bật cách firmware SMA cũ có thể bị khai thác để cài đặt các backdoor và đánh cắp dữ liệu nhạy cảm. Đây là một mối đe dọa mạng cần được xử lý ngay lập tức.

Mặc dù khuyến cáo của SonicWall không gán mã CVE hoặc điểm CVSS, nhà cung cấp vẫn nhấn mạnh rằng rủi ro là đáng kể do khả năng của rootkit này trong việc né tránh các phương pháp phát hiện thông thường. Các tổ chức đang sử dụng thiết bị SMA 100 Series trên phiên bản 10.2.1.15-81sv hoặc cũ hơn được khuyến cáo hành động nhanh chóng để tránh các nguy cơ bị xâm nhập.

Chi Tiết Về OVERSTEP Rootkit

Các thiết bị bị nhiễm OVERSTEP rootkit có thể duy trì quyền truy cập trái phép ngay cả sau khi khởi động lại định kỳ và quét bảo mật. Kẻ tấn công có thể sử dụng sự dai dẳng này để đánh cắp thông tin xác thực, chặn lưu lượng truy cập nội bộ hoặc triển khai các phần mềm độc hại bổ sung.

Mặc dù chưa có báo cáo công khai nào xác nhận việc khai thác rộng rãi, sự kết hợp giữa khả năng tàng hình và kiểm soát từ xa khiến OVERSTEP rootkit trở thành một mối đe dọa mạng nghiêm trọng. Bản vá của SonicWall giới thiệu các kiểm tra tính toàn vẹn tệp tin nâng cao để xác định và loại bỏ bất kỳ thành phần nào của OVERSTEP còn sót lại trên thiết bị. Bản cập nhật này cũng tăng cường hệ thống SMA chống lại các mối đe dọa cấp kernel tương tự trong tương lai.

Các Thiết Bị Bị Ảnh Hưởng và Mức Độ Rủi Ro

Các nhóm IT nên giả định rằng bất kỳ thiết bị nào đang chạy phiên bản firmware không được hỗ trợ đều có thể đã bị xâm nhập. Khuyến cáo nêu rõ rằng vấn đề này không ảnh hưởng đến dòng SMA1000 cũ hơn hoặc dịch vụ SSL-VPN trên các tường lửa SonicWall tiêu chuẩn.

Tuy nhiên, các môi trường kết hợp bao gồm cả SMA100 và các sản phẩm SonicWall khác có thể yêu cầu các bước cập nhật và xác minh phối hợp để đảm bảo bảo vệ hoàn toàn trên toàn mạng. Việc quản lý một lỗ hổng CVE tiềm ẩn như thế này đòi hỏi sự cẩn trọng.

Các Bước Khắc Phục và Biện Pháp Bảo Vệ

SonicWall khuyến cáo mạnh mẽ tất cả khách hàng đang sử dụng thiết bị SMA 100 Series nên ngay lập tức tải xuống và cài đặt phiên bản 10.2.2.2-92sv hoặc mới hơn. Các quản trị viên nên đăng nhập vào bảng điều khiển quản lý SMA và làm theo quy trình nâng cấp firmware tiêu chuẩn.

• Cập nhật firmware: Cài đặt phiên bản 10.2.2.2-92sv hoặc mới hơn càng sớm càng tốt. Đây là một bản vá bảo mật quan trọng.
• Quét hệ thống tệp tin: Sau khi cập nhật, các nhóm phải thực hiện quét toàn bộ hệ thống tệp tin trên thiết bị để xác nhận rằng mọi dấu vết của OVERSTEP rootkit đã được loại bỏ.
• Kiểm tra nhật ký mạng: Ngoài việc áp dụng bản vá, các tổ chức nên xem xét nhật ký mạng của họ để tìm dấu hiệu truy cập trái phép, đặc biệt là trong khoảng thời gian sử dụng firmware cũ hơn.
• Thay đổi thông tin xác thực: Cũng nên thay đổi mọi thông tin xác thực đã được lưu trữ hoặc xử lý bởi thiết bị SMA và theo dõi các mẫu lưu lượng truy cập bất thường sau khi khắc phục. Điều này giúp ngăn chặn kẻ tấn công tiếp tục lợi dụng nếu chúng đã đánh cắp thông tin.

Bằng cách hành động nhanh chóng để cài đặt bản vá bảo mật khẩn cấp này, các tổ chức có thể đảm bảo rằng cơ sở hạ tầng truy cập từ xa của họ vẫn an toàn trước mối đe dọa mạng từ OVERSTEP rootkit và duy trì tính toàn vẹn của mạng nội bộ.