🔥 SonicWall SMA & OVERSTEP : Quand un rootkit sort du bois pour taper sur du périmètre en fin de vie

“Pourquoi s’acharner sur des équipements obsolètes ? Parce qu’ils ont une chose qu’aucune IA ne peut patcher : une DSI trop occupée à piloter des switches sur Excel.”

🧩 Contexte : l’arrière-cuisine des SMA hackés

Mi-juillet 2025, les analystes de plusieurs CERTs (GTIG, TheHackerNews, etc.) lèvent un lièvre qui faisait dĂ©jĂ  la sieste dans les rĂ©seaux d’entreprises : un rootkit nommĂ© OVERSTEP, ciblant des SonicWall SMA 100 Series. Pas un PoC. Pas un scareware. Non : un vrai backdoor, niveau bootloader, qui persiste mĂŞme après un reset d’usine.

Et comme un bon vin moisi, cette attaque a marinĂ© en silence depuis octobre 2024.

🎯 Cibles :

  • Des appliances SMA 100 Series, patchĂ©es, mais en fin de vie (EOL).
  • Des environnements VPN d’accès distant.
  • Des organisations trop confiantes dans leur console de gestion (et trop lentes Ă  migrer).

🧠 Comment fonctionne OVERSTEP ?

Spoiler : ça va plus loin que « juste un malware ».

📦 Étape 1 – Goutte à goutte

Le point d’entrĂ©e reste incertain (possiblement une vulnĂ©rabilitĂ© zero-day ou password reuse sur les interfaces d’administration). Une fois la porte entrouverte, l’attaquant dĂ©ploie une payload furtive en user-mode, qui injecte progressivement un rootkit dans la partition de boot.

🧬 Étape 2 – Injection bootloader (UEFI/BIOS-like)

OVERSTEP modifie les scripts d’initialisation système des appliances SonicWall, en injectant un composant persistant. RĂ©sultat :

  • Retour Ă  l’usine ? Rien n’y fait.
  • Scan antivirus ? Trop tard, le rootkit se charge avant.
  • Reboot ? C’est exactement ce qu’il veut.

🦠 Étape 3 – Commande & Contrôle

Une fois installĂ©, OVERSTEP ouvre un canal chiffrĂ© et dĂ©portĂ©, permettant :

  • Surveillance des connexions VPN.
  • Extraction d’identifiants.
  • DĂ©ploiement d’outils de reconnaissance AD ou lateral movement.
  • PrĂ©paration au ransomware (souvent avec Cobalt Strike ou payloads maison).

🧙 Attribution : qui sont les marionnettistes ?

Le groupe UNC6148 (attribuĂ© par Google Threat Intelligence) est pointĂ© du doigt :

  • Comportement similaire à Abyss ransomware gang.
  • Infrastructure C2 relayĂ©e via des VPS anonymisĂ©s.
  • Campagne ciblĂ©e, lente, propre, sans bruit.

OVERSTEP n’est pas un outil amateur. C’est une bombe Ă  retardement : il reste dans le coin, discret, jusqu’à l’ouverture du bal.

🏚️ Pourquoi ça marche si bien ?

Parce que dans trop de SI, EOL veut dire “on verra l’an prochain”, pas “dĂ©sactivation immĂ©diate”.

Facteurs aggravants :

  • Les SMA 100 ne sont plus maintenus par SonicWall.
  • Les consoles de gestion restent exposĂ©es sur Internet (avec ou sans MFA).
  • Les logs sont insuffisants voire dĂ©sactivĂ©s.
  • Les mises Ă  jour de firmware sont bloquĂ©es… ou ignorĂ©es.

🔒 Recommandations immédiates

  1. Remplacez vos SMA 100 dès maintenant. Ce n’est pas un conseil, c’est une prière.
  2. Analysez la séquence de boot si vous êtes déjà compromis (bon courage).
  3. Isolez les accès VPN des systèmes critiques.
  4. Surveillez les connexions sortantes anormales côté firewall.
  5. Désactivez tout accès d’administration exposé.
  6. Activez l’authentification forte partout, même sur des interfaces “internes”.
  7. Conservez des logs syslog externes (et surtout : relisez-les un jour).

🧨 Conclusion : La leçon du jour

Un rootkit qui s’installe sur un Ă©quipement Ă  jour, mais obsolète, ça s’appelle du karma SI. Et OVERSTEP n’est que la version industrialisĂ©e d’un message que beaucoup refusent d’entendre :

Le périmètre réseau n’est plus une frontière. C’est une passoire qu’on s’obstine à repeindre.

âś… Checklist – Suis-je Ă  risque avec OVERSTEP ?

Pose-toi ces questions sans détour :

  • 🔲 Utilises-tu encore un SonicWall SMA 100 / SMA 200 / SMA 400 ?

→ Fin de vie = terrain de jeu pour attaquants.

  • 🔲 Ces Ă©quipements sont-ils exposĂ©s Ă  Internet (mĂŞme partiellement) ?

→ Interface admin, portail VPN, accès distant non cloisonné ?

  • 🔲 Aucune mise Ă  jour firmware appliquĂ©e depuis dĂ©but 2024 ?

→ Tu pourrais déjà être compromis.

  • 🔲 Pas de MFA activĂ© sur les interfaces d’admin ?

→ L’attaque brute force ou via cred reuse devient triviale.

  • 🔲 Aucune solution EDR/NDR ne surveille ces Ă©quipements ?

→ OVERSTEP peut dormir tranquille.

  • 🔲 Tu n’as jamais vĂ©rifiĂ© l’intĂ©gritĂ© du bootloader ?

→ OVERSTEP aime les redémarrages.

  • 🔲 Tu ne collectes pas les logs système dans un SIEM externe ?

→ Pas de traces, pas d’alerte, pas de réaction.

🎯 Verdict :

  • 0 Ă  2 cases cochĂ©es ? Tu as (encore) une chance.
  • 3 Ă  5 ? Prends une journĂ©e off, ça va piquer.
  • 6 Ă  7 ? Appelle ton RSSI. Non, hurle-lui dessus. Et prĂ©pare le plan de remplacement.
Checklist – Suis-je à risque avec OVERSTEP
🔥 SonicWall SMA & OVERSTEP : Quand un rootkit sort du bois pour taper sur du périmètre en fin de vie
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut