Una nueva alerta de seguridad sacude a los administradores de redes corporativas. Investigadores han confirmado que hackers patrocinados por el estado chino han comenzado a explotar activamente una vulnerabilidad crítica en los firewalls de Sophos.
El objetivo de esta campaña no es el vandalismo ni el ransomware rápido, sino el espionaje persistente y silencioso.
El ataque: “Vivir en el borde”
Los atacantes están apuntando a dispositivos de borde (Edge Devices), específicamente a los cortafuegos Sophos que protegen el perímetro de las empresas. Al explotar esta vulnerabilidad (que permite la ejecución remota de código), los hackers logran instalar implantes maliciosos directamente en el sistema operativo del firewall.
¿Qué logran con esto?
- Invisibilidad: Al estar “dentro” del firewall, pueden interceptar el tráfico de red antes de que sea analizado por otros sistemas de seguridad.
- Persistencia: Modifican el firmware para que, incluso si reinicias el dispositivo, el acceso de los atacantes se mantenga activo.
- Túnel hacia adentro: Utilizan el firewall comprometido como un puente para atacar servidores internos que no están expuestos a Internet.
El actor detrás de la amenaza
Los informes vinculan esta actividad con grupos APT (Amenaza Avanzada Persistente) de China, conocidos por técnicas de “Living off the Land” (Vivir de la tierra). Esto significa que usan las propias herramientas del sistema para moverse, haciendo que su tráfico parezca legítimo y dificultando enormemente la atribución.
El problema de las “Cajas Negras”
El gran desafío con los dispositivos de red (como firewalls, VPNs y routers) es que son “cajas negras”. A diferencia de un servidor Windows o Linux donde puedes instalar un antivirus o un EDR (Endpoint Detection and Response) para ver qué pasa, en un firewall Sophos (o Fortinet, o Cisco) no puedes instalar software de seguridad extra. Si el fabricante (Sophos) no detecta la intrusión, tú tampoco lo harás. Los atacantes lo saben y por eso están migrando sus ataques hacia estos equipos.
Recomendaciones
Ante esta amenaza activa, las recomendaciones son urgentes:
- Parcheo Inmediato: Revisa el boletín de seguridad de Sophos y aplica la actualización de firmware hoy mismo. No esperes a la ventana de mantenimiento del fin de semana.
- Interfaz de Gestión Oculta: Asegúrate de que el panel de administración web del firewall no esté expuesto a Internet (WAN). Solo debe ser accesible desde la red interna (LAN) o a través de una VPN segura.
- Monitoreo de Salida: Vigila el tráfico que sale desde el propio firewall. Un firewall no debería estar “navegando por internet” o conectándose a direcciones IP desconocidas por sí mismo.
