Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat alle Behörden der Federal Civil Executive Branch (FCEB) angewiesen, alle WatchGuard-Geräte sofort zu patchen (öffnet sich in einem neuen Tab), nachdem sie eine Reihe schwerwiegender Schwachstellen entdeckt hatte.
In der Ankündigung wird behauptet, dass ein bekannter russischer staatlich geförderter Bedrohungsakteur namens Sandworm eine als CVE-2022-23176 identifizierte Sicherheitslücke bei der Rechteausweitung missbraucht, die in den Firewall-Geräten WatchGuard Firebox und XTM gefunden wurde (öffnet sich in einem neuen Tab).
Die Gruppe, die Berichten zufolge eng mit dem Militärgeheimdienst GRU verbunden ist, nutzt die Schwachstelle, um ein neues Botnetz namens Cyclops Blink zu erstellen.
Modulare Schadsoftware
„Die WatchGuard Firebox- und
Selbst wenn der Fehler als kritisch eingestuft wurde, erfordert sein Missbrauch, dass das Zielterminal einen unbegrenzten Verwaltungszugriff aus dem Internet autorisiert, erinnert BleepingComputer. WatchGuard-Geräte sind standardmäßig nicht auf diese Weise konfiguriert.
Dennoch haben FCEB-Unternehmen bis zum 2. Mai 2022 Zeit, den Fehler zu beheben.
Die Cyclops Blink-Malware (öffnet sich in einem neuen Tab) ist der Nachfolger des inzwischen nicht mehr existierenden VPNFilter. Es ermöglicht Sandworm, Cyberspionage durchzuführen, DDoS-Angriffe (Distributed Denial of Service) zu starten, kompromittierte Geräte zu sperren und Netzwerke zu stören.
Es wird auch davon ausgegangen, dass es modular ist und durch Upgrades erweitert werden kann, um zusätzliche Hardware zu kompromittieren und zu missbrauchen.
Im März 2022 hat das Federal Bureau of Investigation (FBI) ein großes Sandworm-Botnetz lahmgelegt.
Nachdem das FBI von Gerichten in Kalifornien und Pennsylvania grünes Licht erhalten hatte, entfernte es Cyclops Blink von seinen C2-Servern und schaltete Tausende kompromittierter Endpunkte offline. Das Justizministerium erklärte die Razzia für erfolgreich, empfahl den Gerätebesitzern jedoch dennoch, die ursprüngliche Empfehlung noch einmal durchzugehen und ihre Geräte sicherer zu machen.
Cyclops Blink sei seit Februar aktiv, teilte das Justizministerium (DoJ) mit, und obwohl es den Strafverfolgungsbehörden gelang, einige der kompromittierten Geräte zu sichern, seien die meisten immer noch infiziert und würden von Bedrohungsakteuren verwendet.
„Ich muss darauf hinweisen, dass im weiteren Verlauf alle Firebox-Geräte, die als Bots agierten, möglicherweise auch in Zukunft angreifbar bleiben, bis ihre Besitzer Abhilfe schaffen“, sagte FBI-Direktor Chris Wray.
„Daher sollten diese Eigentümer stets voranschreiten und die Erkennungs- und Behebungsmaßnahmen von Watchguard so schnell wie möglich übernehmen.“
Über: BleepingComputer (Öffnet in einem neuen Tab)