Nueva ola de ciberataques: advierten sobre posible vulnerabilidad zero-day en firewalls SonicWall

En las últimas semanas, se encendieron las alarmas en el mundo de la ciberseguridad tras detectarse una serie de ataques dirigidos a dispositivos SonicWall. Todo indica que los ciberdelincuentes estarían aprovechando una posible vulnerabilidad zero-day, aún no identificada públicamente, para evadir medidas de seguridad y tomar control de los equipos. ¿Qué pasó y por qué deberíamos prestarle atención? Te lo contamos.

¿Qué se sabe hasta ahora?

El primero en dar la voz de alerta fue el equipo de Google Threat Intelligence Group (GTIG), a mediados de julio. Según explicaron, se detectaron intentos de ingreso a dispositivos SonicWall que ya habían sido completamente parcheados contra vulnerabilidades conocidas. En otras palabras, los equipos estaban al día con las actualizaciones, pero igual fueron vulnerados.

Esto llevó a pensar que los atacantes estarían utilizando credenciales robadas en ataques previos, pero también que podría haber un fallo nuevo, no documentado (lo que se conoce como “zero-day”). Y como si eso fuera poco, no solo obtenían acceso, sino que también desplegaban una herramienta nueva y preocupante.

Un nuevo rootkit en escena: Overstep

En estos ataques se identificó un software malicioso bautizado como Overstep, un backdoor con capacidades de rootkit en modo usuario. Básicamente, este programa modifica el proceso de arranque del dispositivo, lo que le permite mantenerse oculto y robar información sin ser detectado.

El grupo detrás de estos ataques fue identificado como UNC6148, y según GTIG, podrían haber utilizado una vulnerabilidad de ejecución remota de código aún desconocida para instalar Overstep de forma automatizada en los dispositivos afectados.

¿Qué dicen desde SonicWall?

La propia empresa SonicWall reconoció esta nueva ola de actividad maliciosa y confirmó que está investigando si se trata de un problema ya reportado o si, efectivamente, estamos ante una nueva vulnerabilidad.

En simultáneo, compañías de ciberseguridad como Arctic Wolf y Huntress emitieron sus propias alertas. Ambas reportaron incidentes en los que se eludió la autenticación multifactor (MFA), incluso en dispositivos actualizados y con medidas de seguridad activas.

Esto refuerza la hipótesis del zero-day, ya que incluso tras cambiar las credenciales y mantener habilitado el MFA, los equipos seguían siendo vulnerados.

¿Quiénes están en la mira?

La campaña actual parece estar dirigida específicamente a dispositivos SonicWall Gen 7 con el servicio SSLVPN activado. Según Huntress, el firmware afectado sería el 7.2.0-7015 o versiones anteriores, y se trataría, principalmente, de los modelos TZ y NSa-series.

En varios de los casos investigados, los atacantes lograron ingresar a los dispositivos y, en cuestión de horas, avanzaron hacia los controladores de dominio internos de las empresas. Esto muestra no solo una falla en la seguridad del firewall, sino una estrategia ofensiva bien definida y muy peligrosa.

¿Qué medidas recomienda SonicWall?

Ante este panorama, SonicWall publicó una serie de medidas preventivas urgentes para mitigar riesgos mientras avanza la investigación:

Desactivar temporalmente los servicios SSLVPN.
Limitar el acceso SSLVPN solo a IPs confiables.
Habilitar los servicios de seguridad para detectar actividad sospechosa.
Aplicar MFA (si no se hizo aún).
Eliminar cuentas sin uso.
Actualizar todas las contraseñas de forma inmediata.

Además, la empresa solicitó a todos sus clientes mantenerse atentos y actuar rápidamente ante cualquier comportamiento extraño en sus dispositivos.

¿Qué significa esto para las empresas?

Si trabajás en tecnología, sistemas o seguridad informática, este tipo de incidentes no puede pasarse por alto. Aun teniendo los dispositivos actualizados y las medidas de seguridad básicas implementadas, la sofisticación de los ataques sigue superando las defensas tradicionales.

Por eso, más allá de aplicar las mitigaciones sugeridas, es fundamental revisar los protocolos internos, capacitar a los equipos y considerar soluciones de ciberseguridad más robustas.

¿Qué significa esto para las empresas?

Este nuevo caso con SonicWall nos recuerda que nadie está completamente a salvo en el mundo digital. Si tu empresa utiliza este tipo de dispositivos, te recomendamos actuar cuanto antes: actualizar firmware, restringir accesos y consultar con profesionales si necesitás acompañamiento.

La prevención no es opcional. Frente a amenazas cada vez más avanzadas, estar un paso adelante marca la diferencia.