Il recente rilevamento del rootkit avanzato OVERSTEP sulle appliance SonicWall SMA 100 ha spinto il produttore a rilasciare una patch d’emergenza. Questo malware può garantire agli hacker accesso persistente, eludendo i controlli di sicurezza più comuni. Aggiorna immediatamente tutte le SMA 100 con la versione firmware 10.2.2.2-92sv o superiore. Dopo l’aggiornamento, esegui una scansione completa del file system e controlla i log di rete per rilevare eventuali comportamenti sospetti. Non rimandare: la rapidità di intervento è la chiave per evitare compromissioni irreversibili.
Cos’è accaduto: OVERSTEP, il rootkit invisibile
A fine settembre 2025, SonicWall ha lanciato un avviso di massima allerta riguardo a un rootkit sofisticato, denominato “OVERSTEP”, individuato sui dispositivi Secure Mobile Access (SMA) 100 delle linee 210, 410 e 500v. Questo rootkit consente agli attaccanti di mantenere l’accesso alle appliance anche dopo riavvii o normali controlli di integrità, eludendo così le difese tradizionali e facilitando nuove attività malevole come il furto di credenziali, l’intercettazione del traffico interno e la diffusione di ulteriori malware.
Il contesto e la scoperta
La minaccia è stata annunciata ufficialmente il 22 settembre 2025 (Advisory SNWLID-2025-0015), quando il Google Threat Intelligence Group (GTIG) ha documentato tecniche di sfruttamento attivo su firmware non aggiornati. OVERSTEP era presente da tempo in versioni precedenti al firmware 10.2.1.15-81sv, sfruttando vulnerabilità che permettevano di installare backdoor a basso livello, rendendosi quasi invisibile agli strumenti di detection convenzionali.
SonicWall non ha rilasciato, per ora, un identificativo CVE né un punteggio CVSS specifico, sottolineando però che la minaccia è “critica” data la capacità del rootkit di sottrarsi alla maggior parte delle verifiche standard.
Meccanismi di attacco e persistenza
La particolarità di OVERSTEP sta nella sua capacità di sopravvivere a reboot, aggiornamenti parziali e scansioni di sicurezza di routine. Una volta infiltratosi nei sistemi nei mesi precedenti la scoperta, il rootkit poteva:
- Instaurare canali di comunicazione remoti per esfiltrare dati e ricevere comandi
- Intercettare password e altri dati che transitavano sulle appliance
- Installare moduli aggiuntivi per attacchi di tipo pivoting all’interno della rete aziendale
Anche se non risultano segnalazioni di infezioni estese o attacchi massivi, la combinazione di stealth, resilienza e funzioni di controllo remoto eleva il rischio a livelli massimi.
La patch risolutiva: cosa cambia
La versione firmware 10.2.2.2-92sv introduce due novità principali:
- Controlli di integrità file avanzati, in grado di rilevare e rimuovere tutte le componenti note di OVERSTEP
- Rinforzo delle difese kernel-level, per prevenire installazioni future di rootkit analoghi
Oltre alla rimozione attiva del malware già presente sulle appliance, il nuovo firmware contiene miglioramenti strutturali per aumentare la difficoltà di compromissione nei prossimi mesi. Dopo aver effettuato la procedura di aggiornamento tramite console di gestione SMA, SonicWall raccomanda fortemente l’esecuzione di una scansione completa del file system.
Chi è a rischio
L’allerta riguarda tutti gli utenti che gestiscono appliance SMA 100 con firmware fino alla versione 10.2.1.15-81sv compresa. Pur se il problema non interessa i modelli SMA1000 o il servizio SSL-VPN dei firewall SonicWall standard, spesso nelle reti aziendali coesistono dispositivi di entrambe le famiglie. Questo scenario impone un controllo coordinato per evitare che una compromissione parziale renda vulnerabile l’intera infrastruttura.
Se gestisci una rete mista, aggiorna subito tutte le SMA 100 vulnerabili e verifica attentamente i collegamenti tra le varie appliance.
Best practice post-patch: controlli e verifica
Dopo l’aggiornamento, SonicWall e le maggiori società di sicurezza consigliano:
- Effettua una scansione integrale del file system sulle SMA 100 aggiornate.
- Esamina i log di accesso e traffico di rete per il periodo in cui era installato firmware vulnerabile: cerca anomalie, accessi o trasferimenti sospetti.
- Ripristina, ove possibile, le credenziali amministrative gestite dalla SMA, in particolare se utilizzate per VPN o servizi di autenticazione centralizzata.
- Considera l’implementazione di strumenti di monitoraggio avanzato sulle SMA (ad es. integrazione con SIEM) per una verifica in tempo reale di attività anomale.
Scenario di sicurezza globale: lo stato delle patch di settembre 2025
La vulnerabilità OVERSTEP sugli appliance SonicWall si inserisce in un mese già ricco di aggiornamenti critici. Secondo Microsoft e le principali aziende di cybersecurity, settembre 2025 ha visto la correzione di oltre 80 vulnerabilità, di cui almeno due zero-day già note e sfruttate. A differenza di molti bug che richiedono interazione dell’utente (click, apertura di allegati), i rootkit come OVERSTEP agiscono nel silenzio, permettendo all’attaccante di controllare l’apparato per settimane o mesi senza alcun segnale visibile.
Oltre ai dispositivi SonicWall, sono state riscontrate:
- Campagne d’attacco contro sistemi IoT come telecamere Hikvision vulnerabili
- Exploit attivi su stack SNMP Cisco, già patchati ma ancora bersaglio di tentativi
Il quadro conferma come la sicurezza non sia mai una condizione statica, ma un processo continuo di aggiornamento e verifica.
Piano d’azione per aziende e amministratori IT
Non aspettare:
- Pianifica e realizza l’aggiornamento urgente di tutti gli appliance SMA 100 ancora non protetti.
- Avvia una procedura straordinaria di revisione log e scansione integrità su tutta la rete nei giorni immediatamente successivi.
Difesa multilivello:
- Integra la gestione patch con strumenti di rilevamento intrusioni (IDS/IPS).
- Sfrutta l’intelligence condivisa tramite feed e community per monitorare la comparsa di nuove varianti simili a OVERSTEP.
Comunicazione interna:
- Forma il personale tecnico su sintomi e modalità di rilevamento delle minacce persistenti avanzate (APT).
- Crea checklist di controlli periodici post-patch per i team di sicurezza.
Disaster recovery ed escalation:
- Definisci un protocollo interno per la ricostruzione e la bonifica totale in caso di compromissione confermata.
- Aggiorna le policy di backup per garantire il ripristino rapido di sistemi critici.
Consigli approfonditi per una protezione efficace:
- Oltre alle linee guida SonicWall, valuta la possibilità di isolare temporaneamente gli appliance aggiornati in una VLAN dedicata prima di rimetterli in produzione, limitando i rischi di propagazione della minaccia.
- Implementa regolarmente controlli di sicurezza proattivi tramite penetration test esterni sulle appliance VPN, soprattutto se esposte direttamente su internet.
- Considera un audit completo delle chiavi crittografiche e delle credenziali di accesso memorizzate sugli apparati, in seguito a infezioni, per evitare escalation dei permessi anche dopo la rimozione del rootkit.
- In scenari ibridi e ad alta criticità, valuta la partecipazione a programmi di threat sharing e la collaborazione con CERT nazionali per informazioni sulle firme di rilevamento più aggiornate relative a OVERSTEP e minacce simili.
- Mantieni sempre aggiornate le documentazioni interne su aggiornamenti applicati, attività di remediation, e verifica periodica dello stato di sicurezza delle appliance di accesso remoto.
Aggiorna subito, monitora i log, verifica integrità: prevenire la compromissione oggi è fondamentale per la resilienza della sicurezza aziendale di domani.
Fonte: https://thehackernews.com/2025/09/threatsday-bulletin-rootkit-patch.htm
