近日,美国网络安全和基础设施安全局(CISA)已下令联邦民间机构,并敦促所有美国组织修补影响Firebox和“严重威胁级别”的漏洞来自WatchGuard的XTM防火墙设备,WatchGuard是全球领先的高效全线网络安全解决方案提供商。隶属于俄罗斯军事情报总局(GRU)的黑客组织Sandworm利用高危权限升级漏洞(CVE-2022-23176)建立了名为CyclopsBlink的新型僵尸网络。WatchGuardFirebox和XTM设备允许具有非特权凭据的远程攻击者通过公开的管理访问权限访问具有会话管理权限的系统。默认情况下,所有WatchGuard设备都限制访问,只有当它设置为允许从Internet进行不受限制的管理访问时,远程攻击者才能利用此漏洞。根据美国11月发布的具有约束力的操作命令(BOD22-01),各机构必须保护其系统免受安全漏洞的侵害。美国网络安全和基础设施安全局(CISA)已用三周时间(到5月2日)修补新添加到其已知被利用漏洞目录中的CVE-2022-23176漏洞。尽管该指令仅适用于联邦机构,但美国网络安全和基础设施安全局(CISA)也强烈敦促所有组织在其WatchGuard设备受到威胁之前优先修复这个被滥用的安全漏洞。1%的WatchGuard防火墙设备遭到恶意软件CyclopsBlink攻击,这是Sandworm黑客组织用来创建僵尸网络的恶意软件,至少自2019年6月以来,该恶意软件已被用于攻击具有CVE-2022-23176漏洞的WatchGuardFirebox防火墙设备以及多个ASUS路由器。该恶意软件通过固件更新在设备上建立持久性,并为其操作员提供对受感染网络的远程访问。此外,受感染设备的合法固件更新通道也被用于通过注入恶意代码和部署重新打包的固件映像来维护对设备的访问。该恶意软件也是模块化的,利用新的硬件池可以轻松升级和瞄准设备和安全漏洞。WatchGuard宣布,在美国和英国的网络安全和执法机构将恶意软件与来自俄罗斯通用情报局(GRU)的黑客联系起来之后,CyclopsBlink可能已经破坏了大约1%的WatchGuard防火墙设备。组织应该假定受感染设备上的所有帐户都已被入侵,管理员应立即删除对管理界面的访问记录。僵尸网络遭到破坏,从C2服务器中删除了恶意软件FBI从Watchguard设备中删除了被识别为命令和控制服务器的恶意软件,在删除受感染设备的CyclopsBlink所有者之前通知了美国和其他国家。FBI局长克里斯托弗·雷(ChristopherWray)警告说:“虽然我们在向前推进,但任何充当机器人的Firebox设备仍然容易受到未来的攻击,因此设备所有者仍应尽快采用Watchguard的检测和补救措施。”WatchGuard有关于将受感染的Firebox设备恢复到干净状态并将其更新到最新的Fireware操作系统版本以防止将来感染的共享说明。
