Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil kurumlara talimat verdi ve Pazartesi günü tüm ABD kuruluşlarını WatchGuard Firebox ve XTM güvenlik duvarı cihazlarını etkileyen aktif olarak yararlanılan bir hatayı düzeltmeye çağırdı.
kum solucanıGRU Rus askeri istihbarat teşkilatının bir parçası olduğuna inanılan Rus sponsorluğundaki bir bilgisayar korsanlığı grubu da bu yüksek önemdeki ayrıcalık yükseltme kusurundan yararlandı (CVE-2022-23176) inşa etmek Cyclops Blink adlı yeni botnet Güvenliği ihlal edilmiş WatchGuard Küçük Ofis/Ev Ofisi (SOHO) ağ cihazları dışında.
Şirket, hatayı kritik bir tehdit düzeyiyle derecelendiren bir güvenlik tavsiyesinde, “WatchGuard Firebox ve XTM cihazları, ayrıcalıksız kimlik bilgilerine sahip uzak bir saldırganın, açık yönetim erişimi aracılığıyla ayrıcalıklı bir yönetim oturumu ile sisteme erişmesine izin veriyor” diye açıklıyor.
Bu kusur, yalnızca İnternet’ten sınırsız yönetim erişimine izin verecek şekilde yapılandırıldıysa kullanılabilir. Varsayılan olarak, tüm WatchGuard cihazları kısıtlı yönetim erişimi için yapılandırılır.
Federal Sivil Yürütme Organları (FCEB) ajansları, Kasım ayındaki verilere göre sistemlerini bu güvenlik kusurlarına karşı korumalıdır. bağlayıcı operasyonel yönerge (BOD 22-01).
CISA, Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna bugün eklenen CVE-2022-23176 hatasını düzeltmeleri için 2 Mayıs’a kadar üç hafta verdi.
Bu direktif sadece federal kurumlar için geçerli olsa da, CISA da şiddetle teşvik tüm ABD kuruluşları, WatchGuard cihazlarının güvenliğinin ihlal edilmesini önlemek için aktif olarak kötüye kullanılan bu güvenlik hatasını düzeltmeye öncelik vermeli.
Kötü amaçlı yazılım, WatchGuard güvenlik duvarı cihazlarının %1’ini vurdu
Sandworm eyalet bilgisayar korsanları tarafından botnet oluşturmak için kullanılan kötü amaçlı yazılım olan Cyclops Blink, hedef almak için kullanıldı. WatchGuard Firebox güvenlik duvarı cihazları CVE-2022-23176 açıklarının yanı sıra birden fazla ASUS yönlendirici modelien az Haziran 2019’dan beri.
Firmware güncellemeleri aracılığıyla cihazda kalıcılık sağlar ve operatörlerine güvenliği ihlal edilmiş ağlara uzaktan erişim sağlar.
Kötü amaçlı kod enjekte ederek ve yeniden paketlenmiş ürün yazılımı görüntülerini dağıtarak, güvenliği ihlal edilmiş cihazlara erişimi sürdürmek için virüslü cihazların meşru ürün yazılımı güncelleme kanallarını kullanır.
Bu kötü amaçlı yazılım aynı zamanda modülerdir, yeni aygıtları ve güvenlik açıklarını yükseltmeyi ve hedeflemeyi kolaylaştırır, yeni sömürülebilir donanım havuzlarından yararlanır.
WatchGuard yayınlandı kendi tavsiyesi ABD ve Birleşik Krallık siber güvenlik ve kolluk kuvvetleri, Cyclops Blink’in tüm aktif WatchGuard güvenlik duvarı cihazlarının yaklaşık %1’ini vurmuş olabileceğini söyleyerek kötü amaçlı yazılımı GRU bilgisayar korsanlarıyla ilişkilendirdikten sonra.
Birleşik Krallık NCSC, FBI, CISA ve NSA ortak danışmanlığı, kuruluşların virüslü cihazlardaki tüm hesapları ele geçirilmiş olarak kabul etmesi gerektiğini söylüyor. Yöneticiler ayrıca yönetim arayüzüne İnternet erişimini derhal kaldırmalıdır.
Botnet bozuldu, kötü amaçlı yazılım C2 sunucularından kaldırıldı
Çarşamba günü, ABD hükümet yetkilileri, Cyclops Blink botnet’in silahlanmadan ve saldırılarda kullanılmadan önce bozulduğunu duyurdu.
FBI ayrıca komuta ve kontrol sunucuları olarak kullanıldığı belirlenen Watchguard cihazlarından kötü amaçlı yazılımı kaldırdı ve Cyclops Blink enfeksiyonunu temizlemeden önce Amerika Birleşik Devletleri’ndeki ve yurtdışındaki güvenliği ihlal edilmiş cihazların sahiplerini bilgilendirdi.
“İlerlerken, bot görevi gören tüm Firebox cihazlarının, sahipleri tarafından azaltılana kadar gelecekte savunmasız kalmaya devam edebileceği konusunda uyarmalıyım. Bu nedenle, bu sahipler yine de devam etmeli ve Watchguard’ın algılama ve iyileştirme adımlarını mümkün olan en kısa sürede benimsemelidir, FBI Direktörü Chris Wray ekledi.
WatchGuard’ın sahip olduğu paylaşılan talimatlar Virüs bulaşmış Firebox cihazlarını temiz bir duruma geri yükleme ve gelecekteki enfeksiyonları önlemek için bunları en son Fireware OS sürümüne güncelleme konusunda.