Onderzoekers hebben SonicWall SMA-apparaten gevonden die besmet zijn met malware die firmware-updates kan overleven en waarschijnlijk ontwikkeld is om gehashte wachtwoorden van gebruikers te stelen. Dat laat securitybedrijf Mandiant weten. De Secure Mobile Access (SMA) appliance is een apparaat dat als gateway wordt gebruikt om gebruikers bijvoorbeeld op het bedrijfsnetwerk te laten inloggen.
Volgens Mandiant maken de aanvallers misbruik van een kwetsbaarheid waarvoor SonicWall een beveiligingsupdate heeft uitgebracht. Om welke kwetsbaarheid het gaat is niet bekend. De malware in kwestie, of een voorganger, was waarschijnlijk al in 2021 op de apparaten geïnstalleerd. Daarbij wist de aanvaller meerdere firmware-updates te overleven en shell-toegang te behouden.
Het primaire doel van de malware lijkt het stelen van gehashte wachtwoorden van alle ingelogde gebruikers. Vervolgens kan de aanvaller proberen om deze hashes te kraken. SonicWall roept organisaties en beheerders op om te upgraden naar firmware 10.2.1.7 of nieuwer. Mandiant vermoedt dat de aanvallen door een vanuit China opererende groep zijn uitgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.