đŸ”„ SonicWall SMA & OVERSTEP : Quand un rootkit sort du bois pour taper sur du pĂ©rimĂštre en fin de vie

“Pourquoi s’acharner sur des Ă©quipements obsolĂštes ? Parce qu’ils ont une chose qu’aucune IA ne peut patcher : une DSI trop occupĂ©e Ă  piloter des switches sur Excel.”

đŸ§© Contexte : l’arriĂšre-cuisine des SMA hackĂ©s

Mi-juillet 2025, les analystes de plusieurs CERTs (GTIG, TheHackerNews, etc.) lĂšvent un liĂšvre qui faisait dĂ©jĂ  la sieste dans les rĂ©seaux d’entreprises : un rootkit nommĂ© OVERSTEP, ciblant des SonicWall SMA 100 Series. Pas un PoC. Pas un scareware. Non : un vrai backdoor, niveau bootloader, qui persiste mĂȘme aprĂšs un reset d’usine.

Et comme un bon vin moisi, cette attaque a marinĂ© en silence depuis octobre 2024.

🎯 Cibles :

  • Des appliances SMA 100 Series, patchĂ©es, mais en fin de vie (EOL).
  • Des environnements VPN d’accĂšs distant.
  • Des organisations trop confiantes dans leur console de gestion (et trop lentes Ă  migrer).

🧠 Comment fonctionne OVERSTEP ?

Spoiler : ça va plus loin que « juste un malware ».

📩 Étape 1 – Goutte à goutte

Le point d’entrĂ©e reste incertain (possiblement une vulnĂ©rabilitĂ© zero-day ou password reuse sur les interfaces d’administration). Une fois la porte entrouverte, l’attaquant dĂ©ploie une payload furtive en user-mode, qui injecte progressivement un rootkit dans la partition de boot.

🧬 Étape 2 – Injection bootloader (UEFI/BIOS-like)

OVERSTEP modifie les scripts d’initialisation systĂšme des appliances SonicWall, en injectant un composant persistant. RĂ©sultat :

  • Retour Ă  l’usine ? Rien n’y fait.
  • Scan antivirus ? Trop tard, le rootkit se charge avant.
  • Reboot ? C’est exactement ce qu’il veut.

🩠 Étape 3 – Commande & Contrîle

Une fois installĂ©, OVERSTEP ouvre un canal chiffrĂ© et dĂ©portĂ©, permettant :

  • Surveillance des connexions VPN.
  • Extraction d’identifiants.
  • DĂ©ploiement d’outils de reconnaissance AD ou lateral movement.
  • PrĂ©paration au ransomware (souvent avec Cobalt Strike ou payloads maison).

🧙 Attribution : qui sont les marionnettistes ?

Le groupe UNC6148 (attribuĂ© par Google Threat Intelligence) est pointĂ© du doigt :

  • Comportement similaire à Abyss ransomware gang.
  • Infrastructure C2 relayĂ©e via des VPS anonymisĂ©s.
  • Campagne ciblĂ©e, lente, propre, sans bruit.

OVERSTEP n’est pas un outil amateur. C’est une bombe Ă  retardement : il reste dans le coin, discret, jusqu’à l’ouverture du bal.

đŸšïž Pourquoi ça marche si bien ?

Parce que dans trop de SI, EOL veut dire “on verra l’an prochain”, pas “dĂ©sactivation immĂ©diate”.

Facteurs aggravants :

  • Les SMA 100 ne sont plus maintenus par SonicWall.
  • Les consoles de gestion restent exposĂ©es sur Internet (avec ou sans MFA).
  • Les logs sont insuffisants voire dĂ©sactivĂ©s.
  • Les mises Ă  jour de firmware sont bloquĂ©es
 ou ignorĂ©es.

🔒 Recommandations immĂ©diates

  1. Remplacez vos SMA 100 dùs maintenant. Ce n’est pas un conseil, c’est une priùre.
  2. Analysez la sĂ©quence de boot si vous ĂȘtes dĂ©jĂ  compromis (bon courage).
  3. Isolez les accĂšs VPN des systĂšmes critiques.
  4. Surveillez les connexions sortantes anormales cÎté firewall.
  5. DĂ©sactivez tout accĂšs d’administration exposĂ©.
  6. Activez l’authentification forte partout, mĂȘme sur des interfaces “internes”.
  7. Conservez des logs syslog externes (et surtout : relisez-les un jour).

🧹 Conclusion : La leçon du jour

Un rootkit qui s’installe sur un Ă©quipement Ă  jour, mais obsolĂšte, ça s’appelle du karma SI. Et OVERSTEP n’est que la version industrialisĂ©e d’un message que beaucoup refusent d’entendre :

Le pĂ©rimĂštre rĂ©seau n’est plus une frontiĂšre. C’est une passoire qu’on s’obstine Ă  repeindre.

✅ Checklist – Suis-je Ă  risque avec OVERSTEP ?

Pose-toi ces questions sans détour :

  • đŸ”Č Utilises-tu encore un SonicWall SMA 100 / SMA 200 / SMA 400 ?

→ Fin de vie = terrain de jeu pour attaquants.

  • đŸ”Č Ces Ă©quipements sont-ils exposĂ©s Ă  Internet (mĂȘme partiellement) ?

→ Interface admin, portail VPN, accĂšs distant non cloisonnĂ© ?

  • đŸ”Č Aucune mise Ă  jour firmware appliquĂ©e depuis dĂ©but 2024 ?

→ Tu pourrais dĂ©jĂ  ĂȘtre compromis.

  • đŸ”Č Pas de MFA activĂ© sur les interfaces d’admin ?

→ L’attaque brute force ou via cred reuse devient triviale.

  • đŸ”Č Aucune solution EDR/NDR ne surveille ces Ă©quipements ?

→ OVERSTEP peut dormir tranquille.

  • đŸ”Č Tu n’as jamais vĂ©rifiĂ© l’intĂ©gritĂ© du bootloader ?

→ OVERSTEP aime les redĂ©marrages.

  • đŸ”Č Tu ne collectes pas les logs systĂšme dans un SIEM externe ?

→ Pas de traces, pas d’alerte, pas de rĂ©action.

🎯 Verdict :

  • 0 Ă  2 cases cochĂ©es ? Tu as (encore) une chance.
  • 3 Ă  5 ? Prends une journĂ©e off, ça va piquer.
  • 6 Ă  7 ? Appelle ton RSSI. Non, hurle-lui dessus. Et prĂ©pare le plan de remplacement.
Checklist – Suis-je à risque avec OVERSTEP
đŸ”„ SonicWall SMA & OVERSTEP : Quand un rootkit sort du bois pour taper sur du pĂ©rimĂštre en fin de vie
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut