近几年,网络安全威胁不断升级,企业的网络设备尤其是VPN系统成为攻击者觊觎的重点。近日,谷歌威胁情报团队(Google Threat Intelligence Group,简称GTIG)曝光了一起针对SonicWall VPN的高危攻击事件。这起攻击事件展现了黑客利用全补丁、看似安全的SonicWall SMA 100系列VPN设备,植入隐秘后门和rootkit,实施长期潜伏和敏感数据窃取,引发了行业对VPN设备安全性的高度关注。此次攻击主要由GTIG命名为UNC6148的攻击团伙发起,他们通过复杂手段获得权限,绕过传统防护措施,植入名为OVERSTEP的高级恶意代码,向行业敲响了警钟。 SonicWall VPN设备作为许多企业和机构访问内部网络的重要通道,理应具备较高安全强度。然而,GTIG的调查揭示,即使是经过官方补丁修复的终端设备依然存在被入侵的风险。
最令人担忧的是,攻击者通过之前偷取的管理员凭证和一次性密码种子,得以在补丁更新后依旧保持隐秘访问权限,绕开了传统的访问控制机制。这表明,单纯依赖补丁更新并不能彻底防御高级持续威胁(APT)攻击。 攻击过程揭示了攻击者的高超技术与缜密计划。攻击者首先通过获得本地管理员身份,开启SSL-VPN会话,并借此在设备上启动反向Shell,实施远程控制。通常,SMA 100系列的固件设计应阻止此类Shell的存在,但在本次事件中,攻击者成功绕过了此限制,其背后的技术细节尚未完全明朗,但谷歌研究人员推测很可能涉及未知的零日漏洞利用。此外,攻击者还通过篡改合法的启动脚本,实现恶意软件OVERSTEP的开机自启动,确保在设备重启后依然能够持续监控和控制。
OVERSTEP作为此次攻击的核心恶意代码,功能强大且隐蔽。它不仅具备rootkit能力,能够深度植入系统内核,隐藏自身存在,还具备定向删除设备日志的功能,有效封堵日志信息,避免安全审计和检测设备异常。更为严重的是,OVERSTEP能够窃取存储在VPN设备中的敏感数据,包括用户密码、安全证书以及一次性密码(OTP),为攻击者持续取得高权限访问提供了重要支持。 数据窃取的风险不容忽视。虽目前尚未观测到攻击者利用窃取数据进行直接的勒索或其他破坏行为,但已经出现了与勒索软件相关的潜在链接。GTIG指出,被攻击目标信息曾出现在公开的数据泄露平台上,且该团伙此前也与其他勒索软件组织有所关联,提示潜在的后续威胁升级。
因应这一安全威胁,谷歌专家建议,使用SonicWall SMA 100系列VPN设备的企业应积极展开全面检查,特别关注与已知CVE漏洞(如CVE-2021-20038、CVE-2024-38475等)相关的风险点及异常网络活动。同时建议尽早弃用已达到生命周期末端的SMA 100系列设备,迁移至更安全的零信任架构产品。厂商SonicWall也响应了事件声明,提醒用户该系列产品已停止销售,鼓励客户采用更先进的安全解决方案,并将在近期提供详细的迁移指导。 本次事件反映了当前网络安全环境的严峻态势,提醒企业在网络设备安全管理中应更加注重多层防护和权限管理,不单靠补丁升级。更应加强对管理员凭证的保护,通过多因素认证和动态密码机制减少被盗用风险。同时,企业应提升安全监控能力,及时发现异常行为,配合专业威胁情报,快速响应潜在攻击。
VPN设备作为连接企业内外的重要桥梁,一旦被攻破不仅危及内部网络安全,还会导致大量敏感信息泄露和业务中断。随着攻击手法的不断演进和复杂化,企业必须重视设备供应链安全,跟进最新安全补丁和配置最佳实践,同时重视员工安全培训和应急响应演练,构建全方位的防御体系。 总结来看,近期通过补丁SonicWall VPN设备实现持久隐秘访问的攻击,揭示了网络攻防博弈的激烈与不确定。面对OVERSTEP rootkit和UNC6148攻击团队的威胁,企业唯有持续加强技术防护、策略更新和风险管理,才能最大程度降低安全风险,保障核心业务的稳定运行。未来,随着零信任网络和人工智能安全技术的深入应用,希望企业安全防护能力能够实现质的提升,应对越来越复杂的网络威胁挑战。
