SonicWall SMA设备零日RCE漏洞遭利用部署OVERSTEP勒索软件
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
调查显示,SonicWall停产的SMA 100系列设备被UNC6148组织利用零日漏洞攻击,攻击者窃取凭证并控制设备,部署勒索软件。攻击链通过HTTP请求获取shell访问,注入恶意代码以保持持久性。建议防御者检查系统并更换密码。
🎯
关键要点
- SonicWall停产的SMA 100系列设备被UNC6148组织利用零日漏洞攻击。
- 攻击者窃取凭证并控制设备,最终部署勒索软件。
- 攻击链通过HTTP请求获取shell访问,注入恶意代码以保持持久性。
- 攻击者激活shell后导出设备配置,注入恶意规则并上传二进制文件。
- 恶意二进制文件被强制加载,赋予攻击者root级访问权限。
- 历史漏洞分析显示多个关键漏洞被利用,涉及代码执行和凭证窃取。
- UNC6148通过重写启动序列来巩固持久性,植入木马化库文件。
- 攻击者通过HTTP请求触发反向shell,隐藏自身活动。
- 建议防御者检查系统、轮换密码和OTP种子,并检查/etc/ld.so.preload文件。
❓
延伸问答
SonicWall SMA 100系列设备的漏洞是如何被利用的?
攻击者通过HTTP请求获取shell访问权限,窃取凭证并控制设备,最终部署勒索软件。
UNC6148组织的攻击目标是什么?
UNC6148组织的攻击目标是SonicWall停产的SMA 100系列设备。
攻击者如何确保对设备的持久性?
攻击者通过重写启动序列和植入木马化库文件来巩固持久性。
建议防御者采取哪些措施来应对这种攻击?
防御者应检查系统、轮换密码和OTP种子,并检查/etc/ld.so.preload文件。
OVERSTEP勒索软件是如何隐藏自身活动的?
OVERSTEP通过劫持系统调用和篡改内存日志来隐藏自身活动。
历史上有哪些关键漏洞被利用?
多个关键漏洞包括CVE-2021-20038、CVE-2024-38475等,涉及代码执行和凭证窃取。
➡️
