SonicWall已发布紧急固件更新（版本10.2.2.2-92sv），用于其Secure Mobile Access（SMA）100系列设备，以检测并清除已知的 rootkit 恶意软件。

这份编号为SNWLID-2025-0015的公告发布于2025年9月22日，强烈建议所有SMA 210、410和500v设备的用户立即安装更新，以防范持续存在的威胁。

此次发布新增了文件检查功能，旨在从受感染的系统中清除恶意软件。

此次更新直接针对谷歌威胁情报小组（GTIG）2025年7月报告中强调的威胁。研究人员详细介绍了一个名为UNC6148的威胁行为者发起的攻击活动，该活动在已终止支持（EoL）的SonicWall SMA 100设备上部署了OVERSTEP恶意软件。

OVERSTEP是一种复杂的用户模式 rootkit，它能让攻击者通过隐藏组件维持持久访问权限、建立反向shell并窃取敏感数据。

被盗文件可能包括凭证、一次性密码（OTP）种子和证书，这使得攻击者即使在固件更新后也能获得长期的持久访问权。

针对正在被积极利用的漏洞发布补丁

此次固件的发布是打击野外活跃利用行为的关键一步。GTIG报告指出，OVERSTEP rootkit已被部署在即将于2025年10月1日达到支持终止日期的SMA设备上。

虽然谷歌的研究人员无法确切确定初始访问途径，但他们观察到UNC6148的活动与涉及“深渊”勒索软件的事件存在显著重叠。在以往的攻击中，威胁行为者会在SMA设备上安装网页木马，以在系统更新后仍能保持其立足点。

SonicWall的安全公告认可了谷歌列出的风险，并敦促管理员实施7月相关知识库文章中详述的安全措施。

该公司全年一直在积极解决其SMA 100设备中的一系列漏洞。2025年5月，它修复了三个漏洞（CVE-2025-32819、CVE-2025-32820、CVE-2025-32821），这些漏洞可被链式利用以实现远程代码执行。另一个严重漏洞CVE-2025-40599于7月修复，以防止经过身份验证的任意文件上传。

SonicWall强调，对于运行10.2.1.15-81sv及更早版本的受影响设备，这款新固件是主要的修复措施，目前没有可用的替代解决方法。

该公告澄清，此漏洞不会影响SonicWall SSL VPN SMA 1000系列产品或其防火墙上运行的SSL-VPN功能。

鉴于SMA 100系列面临的活跃威胁及其日益临近的停止支持日期，建议各组织优先进行此次更新，以防止遭受攻击和数据泄露。

升级前，管理员应检查设备日志以寻找入侵迹象，重置所有凭据，并重新初始化一次性密码绑定，以此作为预防措施。