Connect with us

Technologie

Les utilisateurs du pare-feu WatchGuard invités à corriger la vulnérabilité Cyclops Blink

Published

on


Malgré la perturbation du botnet Cyclops Blink, la vulnérabilité des pare-feu WatchGuard utilisés pour le construire persiste, et elle a maintenant été ajoutée à la liste des vulnérabilités exploitées connues de la Cybersecurity and Infrastructure Security Agency (CISA) qui doivent être corrigées immédiatement.

L’apparition d’une vulnérabilité sur cette liste signifie qu’en vertu des dispositions de la loi américaine, toutes les agences du pouvoir exécutif civil fédéral (FCEB) – c’est-à-dire le gouvernement américain – doivent la corriger après la hâte.

Bien que cette orientation n’ait clairement aucun poids dans la loi britannique, il est fortement recommandé que toutes les organisations partout dans le monde donnent la priorité à la correction des vulnérabilités énumérées.

La vulnérabilité WatchGuard affecte les produits Firebox et XTM de l’entreprise et fait maintenant l’objet d’un suivi en tant que CVE-2022-23176. Il s’agit d’une vulnérabilité d’escalade de privilèges qui, si elle est exploitée avec succès, permet à un attaquant distant disposant d’informations d’identification non privilégiées d’accéder au système avec une session de gestion privilégiée via un accès de gestion exposé. Les organisations américaines concernées ont jusqu’au 2 mai 2022 pour y remédier.

CVE-2022-23176 a été utilisé avec succès par le groupe de menaces persistantes avancées (APT) de l’État russe connu sous le nom de Sandworm ou Voodoo Bear pour établir le botnet Cyclops Blink, successeur d’un logiciel malveillant précédemment favorisé connu sous le nom de VPNFilter, qui a été déployé il y a quelques années avec un grand effet contre des cibles en Ukraine et en Corée du Sud.

WatchGuard a également fait l’objet de nombreuses critiques à la suite de l’action de CISA, après qu’il soit apparu qu’il avait discrètement corrigé la vulnérabilité en question l’année dernière, mais avait retardé le partage de détails explicites par désir de ne pas guider les acteurs de la menace vers son exploitation.

En outre, il a maintenant révélé qu’il avait été alerté de l’existence de Cyclops Blink par le FBI et le National Cyber Security Centre (NCSC) du Royaume-Uni le 30 novembre 2021, près de trois mois jour pour jour avant que la CISA et le NCSC ne publient une alerte à ce sujet.

Dans une FAQ détaillant sa réponse, WatchGuard a déclaré: « Nous avons été informés par le FBI le 30 novembre 2021 de son enquête internationale en cours concernant une attaque parrainée par l’État qui a affecté des périphériques réseau de plusieurs fournisseurs, y compris un nombre limité d’appliances de pare-feu WatchGuard.

« Une fois que nous avons été informés, nous avons travaillé rapidement pour développer des plans de détection, de correction et de protection pour tous les dispositifs de pare-feu affectés à partager avec les clients dès que nous avons été autorisés à le faire en coordination avec les agences gouvernementales compétentes », a-t-il déclaré.

« Le doj et les ordonnances du tribunal ont ordonné à WatchGuard de retarder la divulgation jusqu’à ce que l’autorisation officielle soit accordée. Les agences gouvernementales concernées ont informé WatchGuard qu’elles n’avaient aucune preuve d’exfiltration de données à partir des environnements réseau de nos clients. Ce processus de divulgation est également conforme aux principes standard de l’industrie en matière de divulgation responsable.

Il est toutefois important de noter que la vulnérabilité a affecté moins de 1% des appliances actives, car seules celles qui avaient été configurées pour avoir une gestion ouverte sur Internet étaient vulnérables – toutes les autres n’ont jamais été à risque.

Paul Bischoff, défenseur de la vie privée chez Comparitech, a déclaré: « L’ironie du bug Watchguard est que les appareils que les entreprises ont achetés pour améliorer leur cybersécurité ont fini par le compromettre. Le Firebox et le XTM sont des pare-feu matériels conçus pour empêcher toute intrusion non autorisée dans un réseau. S’ils ne sont pas mis à jour, les pirates – qu’ils soient parrainés par l’État ou non – peuvent exploiter la vulnérabilité pour infiltrer l’appareil et l’ajouter au botnet de l’attaquant, entre autres attaques.

Tim Erlin, vice-président de la stratégie de Tripwire, a ajouté : « Bien que cet avertissement se concentre sur une vulnérabilité, il est important de noter que toute attaque réelle implique à la fois une vulnérabilité et une mauvaise configuration. Il y a peu de cas, voire aucun, où l’interface vulnérable devrait être ouverte à Internet, mais sur la base de l’activité d’exploitation signalée, il est clair qu’un nombre important d’organisations fonctionnent avec une telle configuration. Il est important de corriger cette vulnérabilité, mais des modifications de configuration peuvent être apportées rapidement pour réduire la surface d’attaque. »

Il est fortement conseillé aux utilisateurs de WatchGuard de suivre les étapes définies dans le plan de correction Cyclops Blink en quatre étapes du fournisseur.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance