SonicWallは、Secure Mobile Access (SMA) 100シリーズアプライアンスから危険なルートキット「OVERSTEP」を削除するための緊急ソフトウェアアップデートをリリースしました。このバックドアマルウェアは、古いSMAファームウェアバージョンで発見され、攻撃者に影響を受けるデバイスへの永続的なアクセスを許す可能性があります。新しいビルドであるバージョン10.2.2.2-92svは、この隠れた脅威を検出および排除するための追加のファイルチェック機能を追加しています。

SonicWallは2025年9月22日にアドバイザリSNWLID-2025-0015を公開し、SMA 210、SMA 410、SMA 500vモデルのすべてのユーザーにとって重要であると即座にマークしました。OVERSTEPルートキットは、Google脅威インテリジェンスグループ（GTIG）がブログ投稿で詳細に説明しており、古いSMAファームウェアがバックドアをインストールし、機密データを盗むためにどのように悪用される可能性があるかを強調しています。SonicWallのアドバイザリはCVEまたはCVSSスコアを割り当てていませんが、ベンダーは、このルートキットが通常の検出方法を回避できるため、リスクが重大であることを強調しています。バージョン10.2.1.15-81sv以前のSMA 100シリーズデバイスを実行している組織は、潜在的な侵害を回避するために迅速な行動を取るよう強く求められています。

### 影響

OVERSTEPルートキットに感染したデバイスは、通常の再起動やセキュリティスキャン後も不正なアクセスを維持できます。攻撃者はこの永続性を使用して、認証情報を盗んだり、内部トラフィックを傍受したり、追加のマルウェアを展開したりする可能性があります。広範な悪用を裏付ける公的な報告はありませんが、ステルス性とリモート制御機能の組み合わせにより、このルートキットは深刻な脅威となっています。SonicWallのパッチは、アプライアンスに残っているOVERSTEPコンポーネントを特定して削除するための強化されたファイル整合性チェックを導入しています。このアップデートは、将来的に同様のカーネルレベルの脅威に対してSMAシステムを強化します。ITチームは、サポートされていないファームウェアバージョンを実行しているアプライアンスはすでに侵害されている可能性があると想定すべきです。このアドバイザリは、この問題が古いSMA1000シリーズや標準のSonicWallファイアウォールのSSL-VPNサービスには影響しないと指摘しています。ただし、SMA100と他のSonicWall製品の両方を含む混合環境では、ネットワーク全体で完全な保護を確保するために、協調的なアップデートと検証手順が必要になる場合があります。

SonicWallは、SMA 100シリーズアプライアンスを使用しているすべてのお客様に対し、バージョン10.2.2.2-92sv以降を直ちにダウンロードしてインストールすることを強く推奨しています。管理者はSMA管理コンソールにログインし、標準のファームウェアアップグレード手順に従う必要があります。アップデート後、チームはアプライアンスで完全なファイルシステムスキャンを実行し、OVERSTEPルートキットの痕跡がすべて削除されたことを確認する必要があります。パッチの適用に加えて、組織は、特に古いファームウェアが使用されていた期間を中心に、不正アクセスの兆候がないかネットワークログを確認する必要があります。また、SMAデバイスに保存または処理された認証情報をローテーションし、修復後の異常なトラフィックパターンを監視することも推奨されます。この緊急パッチを迅速にインストールすることで、組織はリモートアクセスインフラストラクチャがOVERSTEPルートキットの脅威から安全に保たれ、内部ネットワークの整合性を維持できることを保証できます。

元記事: [https://gbhackers.com/sonicwall-overstep-rootkit-malware-sma-devices/](https://gbhackers.com/sonicwall-overstep-rootkit-malware-sma-devices/)