近日,美国网络安全和基础设施安全局(CISA)已下令联邦民事机构,并敦促所有美国组织修补一个被积极利用且被评为“严重威胁级别”的漏洞,该漏洞影响了世界领先的高效率和全系列网络安全方案供应商WatchGuard的Firebox和XTM防火墙设备。
黑客组织Sandworm是俄罗斯军事情报总局(GRU)的一部分,该组织利用高严重性权限提升漏洞(CVE-2022-23176),在被入侵的WatchGuard小型办公室/家庭办公室(SOHO)网络设备上建立了一个名为Cyclops Blink的新僵尸网络。
WatchGuard Firebox和XTM设备允许拥有非特权凭证的远程攻击者通过公开的管理访问权限访问具有会话管理特权的系统。默认情况下,所有WatchGuard设备都限制访问,只有将其设置成允许从Internet进行无限制的管理访问,远程攻击者才能利用该漏洞。
根据美国于11月发布的约束性操作指令(BOD 22-01),相关机构必须保护其系统免受安全漏洞的侵害。美国网络安全和基础设施安全局(CISA)给出三周时间(5月2日前)来修补新添加到已知被利用漏洞目录中的CVE-2022-23176漏洞。尽管该指令仅适用于联邦机构,但美国网络安全和基础设施安全局(CISA)也强烈敦促所有组织优先修复这个被滥用的安全漏洞,以避免其WatchGuard设备受到损害。
1%的WatchGuard防火墙设备被恶意软件攻击
Cyclops Blink是Sandworm黑客组织用来创建僵尸网络的恶意软件,至少从2019年6月开始,它就被用来攻击带有CVE-2022-23176漏洞的WatchGuard Firebox防火墙设备以及多个华硕路由器。
该恶意软件通过固件更新在设备上建立持久性,并为其运营商提供对受损网络的远程访问。此外,还使用受感染设备的合法固件更新渠道,通过注入恶意代码和部署重新打包的固件映像来维持对设备的访问。该恶意软件也是模块化的,可以轻松地升级和瞄准设备及安全漏洞,利用新的硬件池。
在美国和英国的网络安全和执法机构将该恶意软件与俄罗斯军事情报总局(GRU)的黑客联系起来后,WatchGuard发布公告称Cyclops Blink可能已经攻击了约1%的WatchGuard防火墙设备。
英国国家网络安全中心(NCSC)、美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)和美国国家安全局(NSA)的联合顾问表示,组织应假定受感染设备上的所有帐户都已被盗用,管理员还应立即删除对管理界面的访问记录。
僵尸网络被破坏,恶意软件从C2服务器中移除
美国联邦调查局(FBI)从Watchguard设备中删除了被认定为用于命令和控制服务器的恶意软件,并在清除Cyclops Blink之前通知了美国和国外受感染设备的所有者。联邦调查局局长克里斯托弗▪雷警告称:“虽然我们在向前迈走,但任何充当机器人的Firebox设备未来仍然容易被攻击,所以设备所有者还是应该尽快采取Watchguard的检测和补救措施。”
WatchGuard已分享了将受感染的Firebox设备恢复到干净状态并将其更新到最新Fireware操作系统版本的说明,以防止未来被感染。