ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), tüm Federal Sivil Yürütme Şubesi (FCEB) kurumlarına yama yapmalarını emretti. (yeni sekmede açılır) Herhangi bir WatchGuard cihazı, bir dizi ciddi kusur keşfettikten hemen sonra.
Duyuru, Sandworm adlı Rus devlet destekli bilinen bir tehdit aktörünün WatchGuard Firebox ve XTM güvenlik duvarında bulunan CVE-2022-23176 olarak izlenen bir ayrıcalık yükseltme kusurunu kötüye kullandığını iddia ediyor. (yeni sekmede açılır) aletler.
GRU askeri istihbarat teşkilatına güçlü bir şekilde bağlı olduğu iddia edilen grup, açığı Cyclops Blink adlı yeni bir botnet oluşturmak için kullanıyor.
Modüler kötü amaçlı yazılım
Güvenlik danışma belgesinde, “WatchGuard Firebox ve XTM cihazları, ayrıcalıksız kimlik bilgilerine sahip uzak bir saldırganın, açık yönetim erişimi aracılığıyla ayrıcalıklı bir yönetim oturumu ile sisteme erişmesine izin veriyor” diyor.
Kusur kritik olarak derecelendirilse de, kötüye kullanılması hedef uç noktanın internetten sınırsız yönetim erişimine izin vermesini gerektirir. BleeBilgisayar hatırlatır. WatchGuard cihazları varsayılan olarak bu şekilde yapılandırılmamıştır.
Yine de, FCEB firmalarının kusuru gidermek için 2 Mayıs 2022’ye kadar süreleri var.
Cyclops Blink kötü amaçlı yazılım (yeni sekmede açılır) artık kullanılmayan VPNFilter’ın halefidir. Sandworm’un siber casusluk yapmasına, dağıtılmış hizmet reddi (DDoS) saldırıları başlatmasına, güvenliği ihlal edilmiş cihazları engellemesine ve ağları bozmasına olanak tanır.
Ayrıca modüler olduğuna ve ek donanımdan ödün vermek ve kötüye kullanmak için kendini yükseltme yeteneğine sahip olduğuna inanılıyor.
Mart 2022’de, Federal Soruşturma Bürosu (FBI) büyük ölçekli bir Sandworm botnetini indirdi.
Kaliforniya ve Pennsylvania’daki mahkemelerden yeşil ışık aldıktan sonra FBI, Cyclops Blink’i C2 sunucularından kaldırdı ve güvenliği ihlal edilmiş binlerce uç noktanın bağlantısını kesti. Adalet Bakanlığı baskının başarılı olduğunu söyledi, ancak yine de cihaz sahiplerine ilk tavsiyeyi gözden geçirmelerini ve cihazlarını daha da güvenli hale getirmelerini tavsiye etti.
Adalet Bakanlığı (DoJ), Cyclops Blink’in Şubat ayından bu yana aktif olduğunu ve kolluk kuvvetlerinin güvenliği ihlal edilen bazı cihazların güvenliğini sağlamayı başardığını, ancak çoğunluğun hala virüslü ve tehdit aktörleri tarafından kullanıldığını söyledi.
Yayın, FBI Direktörü Chris Wray’den alıntı yaparak, “İlerledikçe, bot görevi gören herhangi bir Firebox cihazının, sahipleri tarafından azaltılana kadar gelecekte savunmasız kalmaya devam edebileceğine dikkat etmeliyim” dedi.
“Bu nedenle, bu sahipler yine de devam etmeli ve Watchguard’ın tespit ve iyileştirme adımlarını mümkün olan en kısa sürede benimsemelidir.”
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)