Los investigadores del Grupo de Inteligencia de Amenazos de Google dijeron que los piratas informáticos están comprometiendo los dispositivos de acceso móvil (SMA) de SonicWall, que se encuentran en el borde de las redes empresariales y administran y aseguran acceso mediante dispositivos móviles. Los dispositivos objetivo son el final de la vida, lo que significa que ya no reciben actualizaciones regulares para la estabilidad y la seguridad. A pesar del estado, muchas organizaciones continúan dependiendo de ellas. Eso les ha dejado objetivos principales por UNC6148, el nombre que Google le ha dado al grupo de piratería desconocido. «GTIG recomienda que todas las organizaciones con electrodomésticos de SMA realicen análisis para determinar si se han comprometido», dijo un informe publicado el miércoles, utilizando la abreviatura del Grupo de Inteligencia de Amenazas de Google. «Las organizaciones deben adquirir imágenes de disco para el análisis forense para evitar la interferencia de las capacidades anti-forenses de RootKit. Las organizaciones pueden necesitar interactuar con SonicWall para capturar imágenes de disco de los electrodomésticos». Al carecer de detalles, muchos detalles clave siguen siendo desconocidos. Por un lado, los ataques están explotando las credenciales de administrador local filtrado en los dispositivos específicos, y hasta ahora, nadie sabe cómo se obtuvieron las credenciales. Tampoco se sabe qué vulnerabilidades UNC6148 está explotando. Tampoco está claro con precisión lo que están haciendo los atacantes después de tomar el control de un dispositivo. La falta de detalles es en gran medida el resultado del funcionamiento en Overstep, el nombre del malware personalizado de Backdoor UNC6148 se está instalando después del compromiso inicial de los dispositivos. Overstep permite a los atacantes eliminar selectivamente las entradas de registro, una técnica que obstaculiza la investigación forense. El informe del miércoles también postula que los atacantes pueden estar armados con una exploit de día cero, lo que significa que se dirige a una vulnerabilidad que actualmente es públicamente desconocida. Las posibles vulnerabilidades UNC6148 pueden estar explotando incluyen: CVE-2021-20038: una ejecución de código remoto no autenticado hecho posible por una vulnerabilidad de corrupción de memoria. CVE-2024-38475: una vulnerabilidad de transferencia de ruta no autenticada en el servidor Apache HTTP, que está presente en el SMA 100. Se puede explotar para extraer dos bases de datos SQLite separadas que almacenan credenciales de cuentas de usuario, tokens de sesión y valores de semillas para generar contraseñas de un solo tiempo. CVE-2021-20035: una vulnerabilidad de ejecución de código remoto autenticado. La firma de seguridad Arctic Wolf y Sonicwall informaron en abril que esta vulnerabilidad estaba bajo explotación activa. CVE-2021-20039: una vulnerabilidad de ejecución de código remoto autenticado. Ha habido informes de que esta vulnerabilidad estaba bajo una explotación activa para instalar ransomware en 2024. CVE-2025-32819: una vulnerabilidad de eliminación de archivos autenticada que puede explotarse para hacer que un dispositivo dirigido revertir las credenciales de administrador incorporadas a una contraseña para que los atacantes puedan obtener el acceso al administrador.
Deja una respuesta