2025 年 7 月 16 日，The Hacker News報導指出，SonicWall Secure Mobile Access (SMA) 設備正遭受一種名為 Overstep 的新型惡意軟體攻擊。這種攻擊利用先前修補的漏洞，標誌著網路安全領域的新挑戰。SonicWall 及其安全合作夥伴最近發現，威脅行為者正在利用這些設備的弱點進行未經授權的存取與遠程執行程式碼 (RCE)，這顯示出攻擊者對企業 VPN 設備的持續興趣。
 

攻擊背景與技術細節

Overstep 惡意軟體的出現與 SonicWall SMA 設備中已知漏洞的再利用有關。報導提到，攻擊者可能針對 2021 年修補的 CVE-2021-20035 漏洞，這一漏洞最初被評為中度風險，但後來因發現其被用於遠程程式碼執行而升級為高風險 (CVSS 得分 7.2)。儘管 SonicWall 早在 2021 年 9 月發布了修補程式，但許多設備仍未更新，成為攻擊目標。Overstep 惡意軟體利用這些未修補的系統，通過注入惡意命令實現對設備的控制。
攻擊的另一關鍵點在於其針對性。報導指出，Overstep 被設計用於竊取認證、建立持久性並提供殼層存取，這表明攻擊者旨在進行長期滲透而非一次性攻擊。惡意軟體可能通過偽造的管理介面存取或利用預設弱密碼（如 admin@LocalDomain 的 "password"）進行初始入侵。這種策略顯示出攻擊者對 SonicWall 設備配置的深入了解，可能涉及社會工程或零日漏洞的早期利用。
 

威脅特性與影響

Overstep 攻擊的隱蔽性與持久性是其主要威脅特性。與傳統惡意軟體不同，Overstep 能通過修改設備固件或系統檔案保持活動，即使進行常規更新也難以清除。這與 2023 年 Mandiant 發現的中國駭客攻擊有相似之處，當時惡意軟體在 SonicWall 設備上存活超過數年。這種持久性使企業面臨長期數據洩露或網路滲透的風險。影響範圍涵蓋多個 SonicWall SMA 型號，包括 SMA 200、210、400、410 和 500v。這些設備廣泛用於企業遠程存取，特別是在金融和公共事業領域，因此攻擊成功可能導致敏感數據被盜或網路中斷。報導未提及具體受害者，但考慮到 SonicWall 擁有超過 50 萬客戶，潛在影響可能相當廣泛。
 

攻擊動機與背後行為者

雖然報導未明確指出攻擊者的身份，但過往案例（如中國相關的 UNC4540 小組）顯示，國家支持的威脅行為者可能參與其中。這些團體通常針對高價值目標，旨在進行間諜活動或數據竊取。Overstep 的自定義設計與其針對 SonicWall 設備的專一性，進一步支持這一假設。然而，獨立駭客或勒索軟體團體也可能利用此漏洞謀取經濟利益，這需要進一步調查。
 

防禦策略與建議

為應對 Overstep 威脅，專家建議企業立即更新 SonicWall SMA 設備至最新固件版本（例如 10.2.1.15-81sv 或更高）。此外，啟用多因素身份驗證 (MFA)、限制 VPN 存取權限並重置預設密碼是關鍵防禦措施。網路管理員應監控異常登入活動，並考慮部署進階威脅檢測工具以識別 Overstep 的痕跡。SonicWall 也呼籲客戶檢查設備日誌，尋找未授權命令執行或異常檔案修改的證據。與安全合作夥伴合作進行漏洞評估，可能有助於及早發現潛在弱點。鑑於過去的攻擊模式，企業應假設其設備可能已被感染，並採取主動防範措施。
 

結論與未來展望

Overstep 惡意軟體的出現凸顯了修補管理不足的後果，也反映出攻擊者對舊漏洞的持續利用。SonicWall SMA 設備作為企業網路的重要組成部分，其安全漏洞可能成為攻擊鏈的入門點。企業必須加強主動防禦，確保及時修補並監控網路活動。未來，隨著攻擊技術的不斷進化，類似 Overstep 的自定義惡意軟體可能成為常態，促使安全行業開發更智能的防禦系統。SonicWall 應與客戶和研究人員密切合作，進一步揭示攻擊細節並提供針對性解決方案，以保護全球數位基礎設施。