网络安全设备厂商SonicWall本周紧急发布安全公告SNWLID-2025-0015，以防止小型防火墙硬件SMA（Secure Mobile Access）100系列遭到OVERSTEP后门程序攻击。

最新安全公告发布了固件更新10.2.2.2-92sv，适用于SMA 210、410和500v产品。

此次更新是SonicWall今年7月发布的SNWLID-2025-0014固件更新的加强版，新增了文件检测功能，可清除SMA设备上已存在的后门程序。

Google威胁情报团队（Google Threat Intelligence Group, GTIG）今年早些时候发现，一个编号为UNC 6148的黑客组织发起了零日攻击。攻击者利用SMA 100系列固件中的CVE-2025-40599漏洞，植入名为OVERSTEP的后门程序。

GTIG指出，该程序是一种隐蔽性极强的用户态程序，能够隐藏自身组件、删除日志以逃避检测，并在受感染设备中长期驻留。此外，它还能建立反向Shell，窃取敏感信息，包括管理员凭证和一次性密码种子（Seed），即使企业安装了安全补丁，攻击者仍可维持对设备的持续访问。

此前的攻击主要针对即将于10月1日终止技术支持周期的SMA 100系列产品，最早在今年5月就已出现受害者，并被UNC 6148公开披露受害企业身份。

SonicWall强烈建议使用旧版固件的企业用户尽快升级，包括已在7月安装10.2.1.15-81sv版本的用户。