A pesar de la interrupción de la red de bots Cyclops Blink, la vulnerabilidad en los firewalls de WatchGuard utilizados para crearla persiste y ahora se ha agregado a la lista de vulnerabilidades explotadas conocidas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para parcheo inmediato.
La aparición de una vulnerabilidad en esta lista significa que todas las agencias de la Rama Ejecutiva Civil Federal (FCEB), es decir, el gobierno de los EE. UU., deben parchearla de inmediato, según lo exige la ley de los EE. UU.
Si bien esta instrucción claramente no tiene peso bajo la ley del Reino Unido, se recomienda encarecidamente que todas las organizaciones de todo el mundo den prioridad a la reparación de las vulnerabilidades enumeradas.
La vulnerabilidad de WatchGuard afecta los productos Firebox y XTM de la empresa y ahora se rastrea como CVE-2022-23176. Es una vulnerabilidad de escalada de privilegios que, si se explota con éxito, podría permitir que un atacante remoto con credenciales sin privilegios obtenga acceso al sistema con una sesión de administración privilegiada a través del acceso de administración expuesto. Las organizaciones estadounidenses en el alcance tienen hasta el 2 de mayo de 2022 para resolver el problema.
CVE-2022-23176 fue utilizado con éxito por el grupo ruso State Advanced Persistent Threat (APT) conocido como Sandworm o Voodoo Bear para construir la red de bots Cyclops Blink, un sucesor de un malware previamente popular llamado VPNFilter que se implementó hace unos años en grandes efecto contra objetivos en Ucrania y Corea del Sur.
WatchGuard también ha sido muy criticado a raíz de la acción de CISA, después de que se revelara que había parcheado silenciosamente la vulnerabilidad en cuestión durante el último año, pero se abstuvo de compartir detalles explícitos por el deseo de no engañar a los atacantes para que explotarlos.
Además, ahora ha anunciado que fue alertada de la existencia de Cyclops Blink por el FBI y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido el 30 de noviembre de 2021, casi tres meses antes de que CISA y el NCSC emitieran una advertencia al respecto.
En una pregunta frecuente que detalla su respuesta, WatchGuard dijo: «El FBI nos informó el 30 de noviembre de 2021 sobre su investigación internacional en curso sobre un ataque patrocinado por el estado que afectó a equipos de red de múltiples proveedores, incluida una cantidad limitada de dispositivos de firewall WatchGuard.
«Una vez que nos informaron, trabajamos rápidamente para desarrollar planes de detección, remediación y protección para todos los dispositivos de firewall afectados, que podríamos entregar a los clientes en coordinación con las agencias gubernamentales relevantes una vez que estuviéramos autorizados para hacerlo», dijo.
“El Departamento de Justicia y las órdenes judiciales ordenaron a WatchGuard que pospusiera la divulgación hasta que se concediera la aprobación oficial. Las agencias gubernamentales relevantes informaron a WatchGuard que no tenían evidencia de exfiltración de datos de los entornos de red de nuestros clientes. Este proceso de divulgación también se ajusta a los principios estándar de la industria de divulgación responsable”.
Sin embargo, es importante tener en cuenta que la vulnerabilidad afectó a menos del 1 % de los dispositivos activos, ya que solo aquellos configurados para la administración abierta de Internet eran vulnerables; todos los demás nunca se vieron comprometidos.
El oficial de protección de datos de Comparitech, Paul Bischoff, dijo: «La ironía del error de Watchguard es que los dispositivos que compraron las empresas para mejorar su ciberseguridad en realidad los comprometieron. Firebox y XTM son firewalls de hardware diseñados para evitar la intrusión no autorizada en una red. Si no se actualizan, los piratas informáticos, patrocinados por el gobierno o no, pueden aprovechar la vulnerabilidad para infiltrarse en el dispositivo y agregarlo a la red de bots del atacante, entre otros ataques”.
Tim Erlin, vicepresidente de Tripwire Strategy, agregó: «Si bien el enfoque de esta alerta está en una vulnerabilidad, es importante tener en cuenta que cualquier ataque real involucra tanto una vulnerabilidad como una configuración incorrecta. Hay pocos casos, si es que hay alguno, en los que la interfaz vulnerable deba estar expuesta a Internet, pero según la actividad de explotación informada, está claro que una cantidad significativa de organizaciones operan con esa configuración. Parchar esta vulnerabilidad es importante, pero hay cambios de configuración que se pueden hacer rápidamente para reducir también la superficie de ataque”.
Se recomienda encarecidamente a los usuarios de WatchGuard que sigan los pasos descritos en el plan de reparación de Cyclops Blink de cuatro pasos del proveedor.
