La Cybersecurity and Infrastructure Security Agency (CISA) a ordonné aux agences civiles fédérales et a exhorté toutes les organisations américaines lundi à corriger un bug activement exploité affectant les appliances de pare-feu WatchGuard Firebox et XTM.
Ver des sablesun groupe de piratage parrainé par la Russie, censé faire partie de l’agence de renseignement militaire russe GRU, a également exploité cette faille d’escalade de privilèges très grave (CVE-2022-23176) pour créer un nouveau botnet baptisé Cyclops Blink à partir de périphériques réseau WatchGuard Small Office/Home Office (SOHO) compromis.
« Les appliances WatchGuard Firebox et XTM permettent à un attaquant distant avec des informations d’identification non privilégiées d’accéder au système avec une session de gestion privilégiée via un accès de gestion exposé », explique la société dans un avis de sécurité évaluant le bug avec un niveau de menace critique.
La faille ne peut être exploitée que s’ils sont configurés pour permettre un accès de gestion illimité à partir d’Internet. Par défaut, toutes les appliances WatchGuard sont configurées pour un accès de gestion restreint.
Les agences fédérales du pouvoir exécutif civil (FCEB) doivent sécuriser leurs systèmes contre ces failles de sécurité conformément à la directive opérationnelle contraignante de novembre (BOD 22-01).
CISA leur a donné trois semaines, jusqu’au 2 mai, pour corriger la faille CVE-2022-23176 ajoutée aujourd’hui à son catalogue de vulnérabilités exploitées connues.
Même si cette directive ne s’applique qu’aux agences fédérales, la CISA vivement encouragé à toutes les organisations américaines d’accorder la priorité à la correction de ce bug de sécurité activement abusé afin d’éviter que leurs appliances WatchGuard ne soient compromises.
Les logiciels malveillants ont touché 1 % des appliances de pare-feu WatchGuard
Cyclops Blink, le logiciel malveillant utilisé par les pirates de l’État Sandworm pour créer leur botnet, est utilisé pour cibler les appliances de pare-feu WatchGuard Firebox avec des exploits CVE-2022-23176, ainsi que plusieurs modèles de routeur ASUS, depuis au moins juin 2019.
Il établit la persistance sur l’appareil via des mises à jour du micrologiciel et fournit à ses opérateurs un accès à distance aux réseaux compromis.
Il utilise les canaux légitimes de mise à jour du micrologiciel des appareils infectés pour maintenir l’accès aux appareils compromis en injectant du code malveillant et en déployant des images de micrologiciel reconditionnées.
Ce logiciel malveillant est également modulaire, ce qui facilite la mise à niveau et le ciblage de nouveaux appareils et vulnérabilités de sécurité, en puisant dans de nouveaux pools de matériel exploitable.
WatchGuard émis son propre conseil après que les agences américaines et britanniques de cybersécurité et d’application de la loi ont lié le logiciel malveillant aux pirates du GRU, affirmant que Cyclops Blink pourrait avoir touché environ 1 % de tous les pare-feu WatchGuard actifs.
L’avis conjoint du NCSC, du FBI, de la CISA et de la NSA au Royaume-Uni indique que les organisations devraient supposer que tous les comptes sur les appareils infectés sont compromis. Les administrateurs doivent également supprimer immédiatement l’accès Internet à l’interface de gestion.
Botnet perturbé, malware supprimé des serveurs C2
Mercredi, des responsables du gouvernement américain ont annoncé la perturbation du botnet Cyclops Blink avant d’être armé et utilisé dans des attaques.
Le FBI a également supprimé le logiciel malveillant des appareils Watchguard identifiés comme étant utilisés comme serveurs de commande et de contrôle, informant les propriétaires d’appareils compromis aux États-Unis et à l’étranger avant de nettoyer l’infection Cyclops Blink.
« Je dois avertir qu’à mesure que nous avançons, tous les appareils Firebox qui ont agi en tant que bots peuvent rester vulnérables à l’avenir jusqu’à ce qu’ils soient atténués par leurs propriétaires. Ces propriétaires doivent donc continuer et adopter les étapes de détection et de correction de Watchguard dès que possible, » a ajouté le directeur du FBI, Chris Wray.
WatchGuard a consignes partagées sur la restauration des appliances Firebox infectées dans un état propre et leur mise à jour vers la dernière version du système d’exploitation Fireware afin d’éviter de futures infections.