SonicWall lanzó una actualización crítica de firmware (versión 10.2.2.2-92sv) para eliminar el rootkit OVERSTEP que compromete dispositivos SMA 100 en fin de vida útil. El malware, implementado por el grupo UNC6148, mantiene acceso persistente incluso después de parches anteriores y puede llevar a ataques de ransomware.
El rootkit fue descubierto por el Google Threat Intelligence Group en una campaña activa del grupo UNC6148, que compromete dispositivos SMA 100 incluso con parches de seguridad previamente actualizados. El malware es altamente sofisticado: modifica el proceso de arranque, mantiene persistencia a través de componentes ocultos, establece shells reversos y roba credenciales, semillas OTP y certificados.
Recomendaciones:
- Aplicar inmediatamente el firmware versión 10.2.2.2-92sv en todos los dispositivos SMA 100.
- Adquirir imágenes de disco para análisis forense antes de la remediación, con soporte de SonicWall si es necesario.
- Resetear todas las credenciales, incluyendo contraseñas y vinculaciones OTP para todos los usuarios del dispositivo.
- Revocar y reemitir certificados con claves privadas almacenadas en el dispositivo.
- Buscar indicadores de compromiso como archivos sospechosos, solicitudes web maliciosas y sesiones VPN anómalas.
SEK está monitoreando activamente el caso y permanece a disposición para auxiliar a sus clientes en la implementación de las medidas necesarias y análisis de potencial compromiso.
