قال الباحثون من مجموعة Google That Intelligence Group أن المتسللين يمسسون بأجهزة SonicWall Secure Access (SMA) ، والتي تجلس على حافة شبكات المؤسسات وإدارة وتأمين الوصول بواسطة الأجهزة المحمولة.
الأجهزة المستهدفة هي نهاية الحياة ، مما يعني أنها لم تعد تتلقى تحديثات منتظمة للاستقرار والأمان. على الرغم من الوضع ، تستمر العديد من المنظمات في الاعتماد عليها. وقد تركهم ذلك أهدافًا رئيسية بحلول UNC6148 ، اسم Google أعطته لمجموعة القرصنة غير المعروفة.
“توصي GTIG بأن تقوم جميع المؤسسات التي لديها أجهزة SMA بتحليل لتحديد ما إذا كانت قد تعرضت للخطر” ، أ”https://cloud.google.com/blog/topics/threat-intelligence/sonicwall-secure-mobile-access-exploitation-overstep-backdoor”> تقرير قال يوم الأربعاء ، باستخدام الاختصار لمجموعة Google Threat Intelligence Group. “يجب على المؤسسات الحصول على صور القرص لتحليل الطب الشرعي لتجنب التداخل من قدرات RootKit المضادة للانتقام. قد تحتاج المؤسسات إلى التعامل مع Sonicwall لالتقاط صور القرص من الأجهزة المادية.”
تفتقر إلى التفاصيل
تبقى العديد من التفاصيل الرئيسية غير معروفة. لسبب واحد ، تستغل الهجمات بيانات اعتماد المسؤول المحلي المسرب على الأجهزة المستهدفة ، وحتى الآن ، لا أحد يعرف كيف تم الحصول على بيانات الاعتماد. كما أنه من غير المعروف ما هي نقاط الضعف التي تستغلها UNC6148. كما أنه من غير الواضح بالضبط ما يفعله المهاجمون بعد السيطرة على الجهاز.
إن الافتقار إلى التفاصيل هو إلى حد كبير نتيجة للعمل على Overstep ، فإن اسم البرامج الضارة المخصصة UNC6148 يتم تثبيتها بعد التسوية الأولية للأجهزة. يسمح Overstep للمهاجمين بإزالة إدخالات السجل بشكل انتقائي ، وهي تقنية تعيق تحقيق الطب الشرعي. يفترض تقرير الأربعاء أيضًا أن المهاجمين قد يكونون مسلحين باستغلال يوم صفر ، مما يعني أنه يستهدف الضعف غير المعروف في الوقت الحالي. تشمل نقاط الضعف المحتملة UNC6148: تشمل:
- CVE-2021-20038: تنفيذ رمز عن بعد غير مصادقة أصبح ممكنًا من خلال ضعف الفساد في الذاكرة.
- CVE-2024-38475: تعرضية لتجارة المسار غير مصادقة في خادم Apache HTTP ، والذي يوجد في SMA 100. يمكن استغلاله لاستخراج قواعد بيانات SQLite منفصلة تخزن بيانات اعتماد المستخدم ، وعلامات الجلسة ، وقيم البذور لإنشاء كلمات مرور واحدة.
- CVE-2021-20035: ثغرة تنفيذ رمز عن بعد مصادقة. ذكرت شركة الأمن Arctic Wolf و Sonicwall في أبريل أن هذه الضعف كانت تحت استغلال نشط.
- CVE-2021-20039: ثغرة تنفيذ رمز عن بُعد مصادق عليها. كانت هناك تقارير تفيد بأن هذه الثغرة الأمنية كانت تحت استغلال نشط لتثبيت رانسومواري في عام 2024.
- CVE-2025-32819: قابلية حذف الملفات المصادقة التي يمكن استغلالها لتسبب في إعادة جهاز مستهدف لرجوع بيانات اعتماد المسؤول المدمجة إلى كلمة مرور حتى يتمكن المهاجمون من الوصول إلى المسؤول.