Дослідники з групи Google Threat Intelligence повідомили, що зловмисники атакують пристрої SonicWall Secure Mobile Access (SMA), які розташовані на периметрі корпоративних мереж і забезпечують безпечний доступ для мобільних пристроїв.
Ці пристрої досягли статусу кінця життєвого циклу, що означає, що вони більше не отримують регулярних оновлень для підтримки стабільності та безпеки. Не дивлячись на це, багато організацій все ще покладаються на них, що робить їх ідеальними мішенями для групи UNC6148, неідентифікованого хакерського угруповання, яку назвали в Google.
“Група GTIG рекомендує всім організаціям, які використовують SMA-пристрої, провести аналіз, щоб виявити можливі компрометації,” – йдеться в доповіді, опублікованій в середу. “Організаціям слід отримати образи дисків для судової експертизи, щоб уникнути перешкод з боку можливостей антифорензіки rootkit. Можливо, організаціям знадобиться співпраця з SonicWall для отримання образів дисків з фізичних пристроїв.”
Не вистачає конкретики
Багато ключових деталей залишаються невідомими. По-перше, атаки використовують скомпрометовані локальні адміністративні облікові дані на уражених пристроях, але досі невідомо, як ці дані були отримані. Також не відомо, які вразливості використовує UNC6148. Невідомо, що саме роблять зловмисники після захоплення контролю над пристроєм.
Невідомість щодо деталей значною мірою пояснюється роботою з використанням Overstep – підконтрольного зловмисникам програмного забезпечення, яке UNC6148 встановлює після первинної компрометації пристроїв. Overstep дає можливість зловмисникам вибірково видаляти записи з журналів, що ускладнює судову експертизу. У доповіді, опублікованій в середу, також висловлюється припущення, що зловмисники можуть мати в руках експлойт нульового дня, що означає, що він націлений на вразливість, яка наразі є невідомою для публіки. Можливі вразливості, які може використовувати UNC6148, включають:
- CVE-2021-20038: Вразливість, що дозволяє виконання коду віддалено без аутентифікації, спричинена збоями в пам’яті.
- CVE-2024-38475: Вразливість обходу шляху без аутентифікації в Apache HTTP Server, що присутня в SMA 100. Вона може бути використана для витягання двох окремих баз даних SQLite, що зберігають облікові дані користувачів, токени сесій та значення насіння для генерації одноразових паролів.
- CVE-2021-20035: Вразливість виконання коду віддалено з аутентифікацією. Компанії Arctic Wolf і SonicWall повідомили в квітні, що ця вразливість активно експлуатується.
- CVE-2021-20039: Вразливість виконання коду віддалено з аутентифікацією. Існують повідомлення, що ця вразливість була використана для встановлення програм-вимагачів у 2024 році.
- CVE-2025-32819: Вразливість видалення файлів з аутентифікацією, що може бути використана, щоб змусити цільовий пристрій повернути вбудовані облікові дані адміністратора до пароля, що дозволяє зловмисникам отримати адміністративний доступ.