近日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)已下令聯(lián)邦民事機(jī)構(gòu)，并敦促所有美國組織修補一個被積極利用且被評為“嚴(yán)重威脅級別”的漏洞，該漏洞影響了世界領(lǐng)先的高效率和全系列網(wǎng)絡(luò)安全方案供應(yīng)商WatchGuard的Firebox和XTM防火墻設(shè)備。

黑客組織Sandworm是俄羅斯軍事情報總局(GRU)的一部分，該組織利用高嚴(yán)重性權(quán)限提升漏洞(CVE-2022-23176)，在被入侵的WatchGuard小型辦公室/家庭辦公室(SOHO)網(wǎng)絡(luò)設(shè)備上建立了一個名為Cyclops Blink的新僵尸網(wǎng)絡(luò)。

WatchGuard Firebox和XTM設(shè)備允許擁有非特權(quán)憑證的遠(yuǎn)程攻擊者通過公開的管理訪問權(quán)限訪問具有會話管理特權(quán)的系統(tǒng)。默認(rèn)情況下，所有WatchGuard設(shè)備都限制訪問，只有將其設(shè)置成允許從Internet進(jìn)行無限制的管理訪問，遠(yuǎn)程攻擊者才能利用該漏洞。

根據(jù)美國于11月發(fā)布的約束性操作指令(BOD 22-01)，相關(guān)機(jī)構(gòu)必須保護(hù)其系統(tǒng)免受安全漏洞的侵害。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)給出三周時間(5月2日前)來修補新添加到已知被利用漏洞目錄中的CVE-2022-23176漏洞。盡管該指令僅適用于聯(lián)邦機(jī)構(gòu)，但美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)也強(qiáng)烈敦促所有組織優(yōu)先修復(fù)這個被濫用的安全漏洞，以避免其WatchGuard設(shè)備受到損害。

1%的WatchGuard防火墻設(shè)備被惡意軟件攻擊

Cyclops Blink是Sandworm黑客組織用來創(chuàng)建僵尸網(wǎng)絡(luò)的惡意軟件，至少從2019年6月開始，它就被用來攻擊帶有CVE-2022-23176漏洞的WatchGuard Firebox防火墻設(shè)備以及多個華碩路由器。

該惡意軟件通過固件更新在設(shè)備上建立持久性，并為其運營商提供對受損網(wǎng)絡(luò)的遠(yuǎn)程訪問。此外，還使用受感染設(shè)備的合法固件更新渠道，通過注入惡意代碼和部署重新打包的固件映像來維持對設(shè)備的訪問。該惡意軟件也是模塊化的，可以輕松地升級和瞄準(zhǔn)設(shè)備及安全漏洞，利用新的硬件池。

在美國和英國的網(wǎng)絡(luò)安全和執(zhí)法機(jī)構(gòu)將該惡意軟件與俄羅斯軍事情報總局(GRU)的黑客聯(lián)系起來后，WatchGuard發(fā)布公告稱Cyclops Blink可能已經(jīng)攻擊了約1%的WatchGuard防火墻設(shè)備。

英國國家網(wǎng)絡(luò)安全中心(NCSC)、美國聯(lián)邦調(diào)查局(FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國國家安全局(NSA)的聯(lián)合顧問表示，組織應(yīng)假定受感染設(shè)備上的所有帳戶都已被盜用，管理員還應(yīng)立即刪除對管理界面的訪問記錄。

僵尸網(wǎng)絡(luò)被破壞，惡意軟件從C2服務(wù)器中移除

美國聯(lián)邦調(diào)查局(FBI)從Watchguard設(shè)備中刪除了被認(rèn)定為用于命令和控制服務(wù)器的惡意軟件，并在清除Cyclops Blink之前通知了美國和國外受感染設(shè)備的所有者。聯(lián)邦調(diào)查局局長克里斯托弗?雷警告稱：“雖然我們在向前邁走，但任何充當(dāng)機(jī)器人的Firebox設(shè)備未來仍然容易被攻擊，所以設(shè)備所有者還是應(yīng)該盡快采取Watchguard的檢測和補救措施?！?/p>

WatchGuard已分享了將受感染的Firebox設(shè)備恢復(fù)到干凈狀態(tài)并將其更新到最新Fireware操作系統(tǒng)版本的說明，以防止未來被感染。