A pesar de la interrupción de la red de bots Cyclops Blink, la vulnerabilidad en los firewalls de WatchGuard utilizados para construirla persiste, y ahora se ha agregado a la lista de vulnerabilidades conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) que deben parchearse de inmediato.
La aparición de una vulnerabilidad en esta lista significa que, según las disposiciones de la ley de los EE. UU., todas las agencias del Poder Ejecutivo Civil Federal (FCEB), es decir, el gobierno de los EE. UU., deben parchearla rápidamente.
Si bien esta dirección claramente no tiene peso en la ley del Reino Unido, se recomienda encarecidamente que todas las organizaciones en cualquier parte del mundo den prioridad a la reparación de las vulnerabilidades enumeradas.
La vulnerabilidad de WatchGuard afecta los productos Firebox y XTM de la empresa y ahora se rastrea como CVE-2022-23176. Es una vulnerabilidad de escalada de privilegios que, si se explota con éxito, permite que un atacante remoto con credenciales sin privilegios acceda al sistema con una sesión de administración privilegiada a través del acceso de administración expuesto. Las organizaciones estadounidenses en el alcance tienen hasta el 2 de mayo de 2022 para solucionarlo.
CVE-2022-23176 fue utilizado con éxito por el grupo estatal ruso de amenazas persistentes avanzadas (APT) conocido como Sandworm o Voodoo Bear para establecer la red de bots Cyclops Blink, un sucesor de un malware previamente favorecido conocido como VPNFilter, que se implementó hace unos años. con gran efecto contra objetivos en Ucrania y Corea del Sur.
WatchGuard también ha sido objeto de numerosas críticas a raíz de la acción de CISA, después de que se supo que había parcheado silenciosamente la vulnerabilidad en cuestión el año pasado, pero se abstuvo de compartir detalles explícitos por el deseo de no guiar a los actores de amenazas a explotarla.
Además, ahora ha revelado que el FBI y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido alertaron sobre la existencia de Cyclops Blink el 30 de noviembre de 2021, casi tres meses antes de que CISA y el NCSC publicaran una alerta.
En una pregunta frecuente que detalla su respuesta, WatchGuard dijo: “El FBI nos informó el 30 de noviembre de 2021 sobre su investigación internacional en curso con respecto a un ataque patrocinado por el estado que afectó a dispositivos de red de múltiples proveedores, incluido un número limitado de dispositivos de firewall WatchGuard.
“Una vez que nos informaron, trabajamos rápidamente para desarrollar planes de detección, remediación y protección para cualquier dispositivo de firewall afectado para compartir con los clientes tan pronto como recibimos la autorización para hacerlo en coordinación con las agencias gubernamentales relevantes”, dijo.
“El DOJ y las órdenes judiciales ordenaron a WatchGuard que retrasara la divulgación hasta que se concediera la autorización oficial. Las agencias gubernamentales relevantes informaron a WatchGuard que no tenían evidencia de exfiltración de datos de los entornos de red de nuestros clientes. Este proceso de divulgación también es consistente con los principios estándar de la industria de divulgación responsable”.
Sin embargo, es importante tener en cuenta que la vulnerabilidad afectó a menos del 1 % de los dispositivos activos, porque solo aquellos que se habían configurado para tener una administración abierta a Internet eran vulnerables; los demás nunca estuvieron en riesgo.
El defensor de la privacidad de Comparitech, Paul Bischoff, dijo: “La ironía del error de Watchguard es que los dispositivos que las empresas compraron para mejorar su seguridad cibernética en realidad terminaron comprometiéndolo. Firebox y XTM son firewalls de hardware diseñados para evitar la intrusión no autorizada en una red. Si no están actualizados, los piratas informáticos, ya sean patrocinados por el estado o no, pueden explotar la vulnerabilidad para infiltrarse en el dispositivo y agregarlo a la red de bots del atacante, entre otros ataques”.
El vicepresidente de estrategia de Tripwire, Tim Erlin, agregó: “Si bien el enfoque de esta advertencia está en una vulnerabilidad, es importante tener en cuenta que cualquier ataque real involucra tanto una vulnerabilidad como una mala configuración. Hay pocos casos, si es que hay alguno, en los que la interfaz vulnerable deba estar abierta a Internet, pero según la actividad de explotación informada, está claro que una cantidad significativa de organizaciones se ejecutan con esa configuración. Parchar esta vulnerabilidad es importante, pero también hay cambios de configuración que se pueden hacer rápidamente para reducir la superficie de ataque”.
Se recomienda enfáticamente a los usuarios de WatchGuard que sigan los pasos establecidos en el plan de remediación Cyclops Blink de cuatro pasos del proveedor.