Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) τη Δευτέρα διέταξε τις ομοσπονδιακές μη στρατιωτικές υπηρεσίες και προέτρεψε όλους τους οργανισμούς των ΗΠΑ να διορθώσουν ένα ενεργό σφάλμα που επηρεάζει το WatchGuard Firebox και τις συσκευές XTM firewall.
Δείτε επίσης: Qbot: Το malware χρησιμοποιεί πλέον το Windows Installer
Η Sandworm, μια ομάδα hacking που υποστηρίζεται από τη Ρωσία, που πιστεύεται ότι είναι μέρος της ρωσικής στρατιωτικής υπηρεσίας πληροφοριών GRU, εκμεταλλεύτηκε αυτό το ελάττωμα κλιμάκωσης προνομίων υψηλής σοβαρότητας (CVE-2022-23176) για να δημιουργήσει ένα νέο botnet με το όνομα Cyclops Blink από τις παραβιασμένες συσκευές δικτύου WatchGuard Small Office/Home Office (SOHO).
Το ελάττωμα μπορεί να είναι εκμεταλλεύσιμο μόνο εάν οι συσκεύες έχουν ρυθμιστεί ώστε να επιτρέπουν απεριόριστη πρόσβαση διαχείρισης από το Διαδίκτυο. Από προεπιλογή, όλες οι συσκευές WatchGuard έχουν διαμορφωθεί για περιορισμένη πρόσβαση διαχείρισης.
Δείτε επίσης: Ermenegildo Zegna: Ransomware επίθεση έπληξε τον οίκο μόδας
Οι υπηρεσίες Federal Civilian Executive Branch Agencies (FCEB) πρέπει να προστατεύουν τα συστήματά τους έναντι αυτών των ελαττωμάτων ασφαλείας σύμφωνα με τη δεσμευτική επιχειρησιακή οδηγία του Νοεμβρίου (BOD 22-01).
Η CISA τους έδωσε προθεσμία τριών εβδομάδων, έως τις 2 Μαΐου, για να επιδιορθώσουν το ελάττωμα CVE-2022-23176 που προστέθηκε σήμερα στον κατάλογό της με τα Known Exploited Vulnerabilities.
Παρόλο που αυτή η οδηγία ισχύει μόνο για ομοσπονδιακούς οργανισμούς, η CISA προέτρεψε σθεναρά όλους τους οργανισμούς των ΗΠΑ να δώσουν προτεραιότητα στη διόρθωση αυτού του σφάλματος ασφαλείας για να αποφευχθεί η παραβίαση των WatchGuard συσκευών τους.
Το malware χτύπησε το 1% των συσκευών firewall WatchGuard
Το Cyclops Blink, το malware που χρησιμοποιείται από τους χάκερ του κράτους Sandworm για τη δημιουργία του botnet τους, έχει χρησιμοποιηθεί για να στοχεύσει συσκευές firewall WatchGuard Firebox με CVE-2022-23176 exploits, καθώς και πολλά μοντέλα router ASUS, τουλάχιστον από τον Ιούνιο του 2019.
Καθιερώνει persistence στη συσκευή μέσω ενημερώσεων firmware και παρέχει στους χειριστές της απομακρυσμένη πρόσβαση σε δίκτυα που έχουν παραβιαστεί.
Χρησιμοποιεί τα νόμιμα κανάλια firmware update των μολυσμένων συσκευών για να διατηρήσει την πρόσβαση στις παραβιασμένες συσκευές εισάγοντας κακόβουλο κώδικα και αναπτύσσοντας επανασυσκευασμένα firmware images.
Αυτό το malware είναι modular, καθιστώντας εύκολη την αναβάθμιση και τη στόχευση νέων συσκευών και τρωτών σημείων ασφαλείας, αξιοποιώντας νέες ομάδες εκμεταλλεύσιμου hardware.
Η WatchGuard εξέδωσε και το δικό της advisory αφού οι Υπηρεσίες κυβερνοασφάλειας και επιβολής του νόμου των ΗΠΑ και του Ηνωμένου Βασιλείου συνέδεσαν το malware με τους GRU hackers, λέγοντας ότι το Cyclops Blink μπορεί να έχει χτυπήσει περίπου το 1% όλων των ενεργών συσκευών WatchGuard firewall.
Το κοινό advisory NCSC, FBI, CISA και NSA του Ηνωμένου Βασιλείου λέει ότι οι οργανισμοί θα πρέπει να θεωρούν ότι όλοι οι λογαριασμοί σε μολυσμένες συσκευές έχουν παραβιαστεί. Οι διαχειριστές θα πρέπει να καταργήσουν αμέσως την πρόσβαση στο Διαδίκτυο στο management interface.
Την Τετάρτη, αξιωματούχοι της κυβέρνησης των ΗΠΑ ανακοίνωσαν τη διακοπή της λειτουργίας του botnet Cyclops Blink πριν οπλιστεί και χρησιμοποιηθεί σε επιθέσεις.
Δείτε επίσης: Θανάσης Κουκάκης: Predator spyware κατασκοπεύει τον δημοσιογράφο!
Η CISA χθες 11 Απριλίου πρόσθεσε οκτώ νέα τρωτά σημεία στο Known Exploited Vulnerabilities Catalog, με βάση στοιχεία ενεργής εκμετάλλευσης. Αυτοί οι τύποι τρωτών σημείων αποτελούν συχνό φορέα επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικό κίνδυνο για την ομοσπονδιακή επιχείρηση. Σημείωση: για να προβάλετε τα τρωτά σημεία που προστέθηκαν πρόσφατα στον κατάλογο, κάντε κλικ στο βέλος στη στήλη “Date Added to Catalog”, η οποία θα ταξινομήσει κατά φθίνουσες ημερομηνίες.
Πηγή πληροφοριών: bleepingcomputer.com
