La Cybersecurity and Infrastructure Security Agency (CISA) ha ordinato alle agenzie civili federali, e intimato a tutte le organizzazioni statunitensi, di correggere un bug sfruttato attivamente da hacker statali russi.
Sandworm, un gruppo di hacker sponsorizzato dalla Russia, ritenuto parte dell’agenzia di intelligence militare russa GRU, ha sfruttato questo difetto di escalation dei privilegi di alta gravità (CVE-2022-23176) per costruire una nuova botnet denominata Cyclops Blink, prendendo di mira i WatchGuard.
«i dispositivi WatchGuard Firebox e XTM consentono a un utente malintenzionato remoto con credenziali non privilegiate di accedere al sistema con una sessione di gestione privilegiata tramite l’accesso di gestione esposto su internet» spiega l’azienda in un avviso di sicurezza che valuta il bug con un livello di minaccia critico.
Il difetto può essere sfruttato solo se sono configurati per consentire l’accesso (illimitato) alla gestione da Internet. Per impostazione predefinita, tutte le appliance WatchGuard sono configurate con l’accesso di gestione limitato.
Le agenzie della Federal Civilian Executive Branch Agency (FCEB) sono state obbligate a proteggere i propri sistemi da questi difetti di sicurezza secondo la direttiva operativa vincolante di novembre (BOD 22-01). L’obiettivo è, ovviamente, quello di ridurre il pericolo significativo di vulnerabilità note sfruttate. La CISA ha anche esortato tutte le organizzazioni statunitensi a dare la priorità alla correzione di questo bug di sicurezza, attivamente abusato, per evitare che i loro dispositivi WatchGuard vengano compromessi.
Il malware ha colpito l’1% delle appliance firewall WatchGuard
Cyclops Blink, il malware utilizzato dagli hacker statali di Sandworm per creare la loro botnet, è stato utilizzato per prendere di mira le appliance firewall WatchGuard Firebox con exploit CVE-2022-23176, oltre ad alcuni modelli di router ASUS , almeno da giugno 2019. Il malware stabilisce la persistenza sul dispositivo tramite aggiornamenti del firmware e fornisce ai suoi operatori l’accesso remoto alle reti compromesse. Utilizza i canali legittimi di aggiornamento del firmware dei dispositivi infetti per mantenere l’accesso ai dispositivi compromessi iniettando codice dannoso e distribuendo immagini del firmware. Questo malware è anche modulare, il che semplifica l’aggiornamento e il targeting di nuovi dispositivi.
WatchGuard ha emesso il proprio avviso dopo che le forze dell’ordine e la sicurezza informatica statunitensi e britanniche hanno collegato il malware agli hacker del GRU, affermando che Cyclops Blink potrebbe aver colpito circa l’1% di tutte le appliance firewall WatchGuard attive.
L’avviso congiunto di NCSC, FBI, CISA e NSA del Regno Unito afferma che le organizzazioni dovrebbero presumere che tutti gli account sui dispositivi infetti siano compromessi. Gli amministratori dovrebbero inoltre rimuovere immediatamente l’accesso a Internet dall’interfaccia di gestione.
[/av_textblock] [av_hr class=’custom’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-none’ custom_width=’50px’ custom_border_color=” custom_margin_top=’15px’ custom_margin_bottom=’15px’ icon_select=’no’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’ admin_preview_bg=”] [av_social_share title=” style=” buttons=” admin_preview_bg=”]