Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat alle Behörden der Federal Civilian Executive Branch (FCEB) angewiesen, alle WatchGuard-Geräte sofort zu patchen (wird in einem neuen Tab geöffnet), nachdem sie eine Reihe schwerwiegender Schwachstellen entdeckt hatte.
Die Ankündigung behauptet, dass ein bekannter russischer staatlich geförderter Bedrohungsakteur namens Sandworm eine als CVE-2022-23176 identifizierte Privilegieneskalationslücke missbraucht, die in WatchGuard Firebox- und XTM-Firewall-Appliances gefunden wurde (wird auf einer neuen Registerkarte geöffnet).
Die Gruppe, die Berichten zufolge stark mit dem Militärgeheimdienst GRU verbunden ist, nutzt den Fehler, um ein neues Botnetz namens Cyclops Blink zu erstellen.
Modulare Malware
„WatchGuard Firebox- und XTM-Appliances ermöglichen einem entfernten Angreifer mit nicht privilegierten Zugangsdaten den Zugriff auf das System mit einer privilegierten Verwaltungssitzung über einen exponierten Verwaltungszugriff“, heißt es in der Sicherheitsempfehlung.
Selbst wenn der Fehler als kritisch eingestuft wurde, erfordert sein Missbrauch, dass der Zielendpunkt unbegrenzten Verwaltungszugriff aus dem Internet autorisiert, erinnert sich BleepingComputer. WatchGuard-Geräte sind standardmäßig nicht auf diese Weise konfiguriert.
Dennoch haben FCEB-Unternehmen bis zum 2. Mai 2022 Zeit, um den Fehler zu beheben.
Cyclops Blink-Malware (wird in einem neuen Tab geöffnet) ist der Nachfolger des inzwischen nicht mehr existierenden VPNFilter. Es ermöglicht Sandworm, Cyberspionage durchzuführen, DDoS-Angriffe (Distributed Denial of Service) zu starten, kompromittierte Geräte zu sperren und Netzwerke zu unterbrechen.
Es wird auch angenommen, dass es modular ist und aufgerüstet werden kann, um zusätzliche Hardware zu kompromittieren und zu missbrauchen.
Im März 2022 schaltete das Federal Bureau of Investigation (FBI) ein groß angelegtes Sandworm-Botnet ab.
Nachdem das FBI grünes Licht von Gerichten in Kalifornien und Pennsylvania erhalten hatte, entfernte es Cyclops Blink von seinen C2-Servern und schaltete Tausende von kompromittierten Endpunkten offline. Das Justizministerium erklärte die Razzia für erfolgreich, riet den Gerätebesitzern aber dennoch, die ursprüngliche Empfehlung zu überprüfen und ihre Geräte sicherer zu machen.
Cyclops Blink war seit Februar aktiv, sagte das Justizministerium (DoJ), und obwohl es den Strafverfolgungsbehörden gelang, einige der kompromittierten Geräte zu sichern, waren die meisten immer noch infiziert und wurden von Bedrohungsakteuren verwendet.
„Ich muss darauf hinweisen, dass im weiteren Verlauf alle Firebox-Geräte, die als Bots gehandelt haben, in Zukunft anfällig bleiben können, bis ihre Besitzer sie entschärfen“, sagte FBI-Direktor Chris Wray.
„Deshalb sollten diese Eigentümer immer so schnell wie möglich die Erkennungs- und Abhilfemaßnahmen von Watchguard ergreifen.“
Über: BleepingComputer (Öffnet in einem neuen Tab)
