AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Hackers de UNC6148 comprometen dispositivos SonicWall con malware sigiloso para control y robo de credenciales

admin

Introducción

En un nuevo episodio de amenazas avanzadas dirigidas a infraestructuras críticas, el grupo de cibercriminales identificado como UNC6148 ha centrado sus ataques en dispositivos de seguridad SonicWall. Estos equipos, ampliamente desplegados en entornos empresariales y gubernamentales, son ahora víctimas de una campaña de intrusión que aprovecha vulnerabilidades para desplegar software malicioso de difícil detección, logrando el control remoto, la exfiltración de credenciales y la persistencia encubierta en los sistemas afectados.

Contexto del Incidente

Los dispositivos de seguridad SonicWall, incluyendo firewalls de nueva generación (NGFW) y appliances para VPN, han sido tradicionalmente una pieza clave en la defensa perimetral de muchas organizaciones. Sin embargo, en los últimos años estos dispositivos han sido objeto de múltiples ataques dirigidos, dada su posición privilegiada en la topología de red y el acceso que permiten a recursos internos sensibles.

Según investigaciones recientes, el grupo UNC6148 —identificado por Mandiant y otras firmas de threat intelligence— ha lanzado una campaña que explota vulnerabilidades no parcheadas en versiones específicas del firmware de SonicWall. El objetivo es claro: conseguir persistencia, movimiento lateral y robo de credenciales administrativas, impactando gravemente la seguridad de las redes corporativas.

Detalles Técnicos

El vector de ataque principal identificado está relacionado con la explotación de la vulnerabilidad CVE-2022-22274, presente en versiones de SonicOS previas a la 7.0.1-5050. Este fallo permite la ejecución remota de código (RCE) sin autenticación previa, lo que habilita a los atacantes a desplegar cargas maliciosas directamente en el dispositivo.

Tras el acceso inicial, los actores de UNC6148 instalan un backdoor personalizado que emplea técnicas de rootkit para ocultar su presencia. El malware, identificado en algunos casos como una variante adaptada de la familia BPFdoor, utiliza sockets raw y manipulación directa de tablas de rutas para evadir mecanismos de detección convencionales.

Además, se han observado TTP alineadas con MITRE ATT&CK como:

– TA0001 (Initial Access) mediante explotación de vulnerabilidades RCE.
– TA0003 (Persistence) usando la inserción de servicios residentes en el propio firmware.
– TA0005 (Defense Evasion) a través de técnicas de fileless malware y manipulación de logs del sistema.

Indicadores de compromiso (IoC) incluyen conexiones salientes a dominios de comando y control (C2) alojados en infraestructuras bulletproof, rutas de archivos como `/var/sonicwall/.cache/` y la presencia de procesos anómalos ejecutándose bajo el contexto del sistema.

Impacto y Riesgos

El impacto de esta campaña es significativo. Al comprometer dispositivos de seguridad perimetral, UNC6148 obtiene acceso privilegiado a redes internas, pudiendo interceptar tráfico, robar credenciales y facilitar movimientos laterales hacia sistemas críticos. Se estima que más de 3.000 dispositivos SonicWall expuestos a Internet podrían estar en riesgo, especialmente aquellos sin las últimas actualizaciones de firmware.

Entre las consecuencias potenciales se incluyen:

– Pérdida de confidencialidad e integridad de las comunicaciones.
– Acceso a datos sensibles y cuentas privilegiadas.
– Riesgo de intrusión prolongada y persistente, dada la capacidad del malware para evadir detección.
– Sanciones regulatorias por incumplimiento de GDPR y NIS2, en caso de compromisos de datos personales o sistemas esenciales.

Medidas de Mitigación y Recomendaciones

Ante esta amenaza, los expertos recomiendan:

1. **Actualizar inmediatamente a la última versión disponible de SonicOS** (7.0.1-5050 o superior) en todos los dispositivos afectados.
2. **Revisar exhaustivamente los registros de acceso y sistema** en busca de artefactos sospechosos, conexiones inusuales o alteraciones en la configuración.
3. **Implementar segmentación de red** para limitar el alcance de un posible ataque desde el perímetro hacia activos internos críticos.
4. **Desplegar soluciones de monitorización avanzada** (EDR, NDR) con reglas específicas para detectar los IoC asociados a esta campaña.
5. **Realizar auditorías de contraseñas y rotación forzada** de credenciales administrativas tras la remediación.
6. **Limitar la exposición de interfaces de administración a Internet** y habilitar autenticación multifactor en todos los accesos remotos.

Opinión de Expertos

Según Fernando Pérez, CISO de una multinacional tecnológica: “La tendencia a atacar dispositivos de seguridad perimetral no es nueva, pero las técnicas de evasión y persistencia que estamos viendo en campañas como la de UNC6148 representan una evolución preocupante. Las organizaciones deben tratar sus firewalls como sistemas críticos, con los mismos controles de hardening y monitorización que aplicarían a sus activos más sensibles”.

Por su parte, Marta Romero, analista senior de SOC, subraya: “El uso de malware fileless y rootkits en appliances de red complica enormemente la detección. Es prioritario desplegar soluciones de monitorización de integridad y análisis de comportamiento complementarias a las tradicionales”.

Implicaciones para Empresas y Usuarios

La campaña de UNC6148 evidencia la urgencia de revisar estrategias de defensa perimetral. La confianza ciega en appliances de seguridad puede resultar contraproducente si no se acompañan de una gestión proactiva de vulnerabilidades, monitorización continua y respuesta rápida ante incidentes.

Para las empresas, el impacto no se limita a la brecha técnica: la exposición de datos personales o la interrupción de servicios esenciales puede acarrear multas significativas bajo el GDPR y la inminente aplicación de NIS2, especialmente en sectores críticos.

Conclusiones

El ataque coordinado de UNC6148 sobre dispositivos SonicWall subraya la importancia de mantener una postura de ciberresiliencia integral, donde la actualización constante, la segmentación y la monitorización avanzada son pilares fundamentales. Las organizaciones deben priorizar la gestión de vulnerabilidades y la detección temprana, asumiendo que los dispositivos de seguridad pueden ser tanto escudo como objetivo.

(Fuente: www.darkreading.com)