近日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)已下令聯(lián)邦民事機(jī)構(gòu)，并敦促所有美國(guó)組織修補(bǔ)一個(gè)被積極利用且被評(píng)為“嚴(yán)重威脅級(jí)別”的漏洞，該漏洞影響了世界領(lǐng)先的高效率和全系列網(wǎng)絡(luò)安全方案供應(yīng)商WatchGuard的Firebox和XTM防火墻設(shè)備。

黑客組織Sandworm是俄羅斯軍事情報(bào)總局(GRU)的一部分，該組織利用高嚴(yán)重性權(quán)限提升漏洞(CVE-2022-23176)，在被入侵的WatchGuard小型辦公室/家庭辦公室(SOHO)網(wǎng)絡(luò)設(shè)備上建立了一個(gè)名為Cyclops Blink的新僵尸網(wǎng)絡(luò)。

WatchGuard Firebox和XTM設(shè)備允許擁有非特權(quán)憑證的遠(yuǎn)程攻擊者通過(guò)公開(kāi)的管理訪問(wèn)權(quán)限訪問(wèn)具有會(huì)話管理特權(quán)的系統(tǒng)。默認(rèn)情況下，所有WatchGuard設(shè)備都限制訪問(wèn)，只有將其設(shè)置成允許從Internet進(jìn)行無(wú)限制的管理訪問(wèn)，遠(yuǎn)程攻擊者才能利用該漏洞。

根據(jù)美國(guó)于11月發(fā)布的約束性操作指令(BOD 22-01)，相關(guān)機(jī)構(gòu)必須保護(hù)其系統(tǒng)免受安全漏洞的侵害。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)給出三周時(shí)間(5月2日前)來(lái)修補(bǔ)新添加到已知被利用漏洞目錄中的CVE-2022-23176漏洞。盡管該指令僅適用于聯(lián)邦機(jī)構(gòu)，但美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)也強(qiáng)烈敦促所有組織優(yōu)先修復(fù)這個(gè)被濫用的安全漏洞，以避免其WatchGuard設(shè)備受到損害。

1%的WatchGuard防火墻設(shè)備被惡意軟件攻擊

Cyclops Blink是Sandworm黑客組織用來(lái)創(chuàng)建僵尸網(wǎng)絡(luò)的惡意軟件，至少?gòu)?019年6月開(kāi)始，它就被用來(lái)攻擊帶有CVE-2022-23176漏洞的WatchGuard Firebox防火墻設(shè)備以及多個(gè)華碩路由器。

該惡意軟件通過(guò)固件更新在設(shè)備上建立持久性，并為其運(yùn)營(yíng)商提供對(duì)受損網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)。此外，還使用受感染設(shè)備的合法固件更新渠道，通過(guò)注入惡意代碼和部署重新打包的固件映像來(lái)維持對(duì)設(shè)備的訪問(wèn)。該惡意軟件也是模塊化的，可以輕松地升級(jí)和瞄準(zhǔn)設(shè)備及安全漏洞，利用新的硬件池。

在美國(guó)和英國(guó)的網(wǎng)絡(luò)安全和執(zhí)法機(jī)構(gòu)將該惡意軟件與俄羅斯軍事情報(bào)總局(GRU)的黑客聯(lián)系起來(lái)后，WatchGuard發(fā)布公告稱Cyclops Blink可能已經(jīng)攻擊了約1%的WatchGuard防火墻設(shè)備。

英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)、美國(guó)聯(lián)邦調(diào)查局(FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國(guó)國(guó)家安全局(NSA)的聯(lián)合顧問(wèn)表示，組織應(yīng)假定受感染設(shè)備上的所有帳戶都已被盜用，管理員還應(yīng)立即刪除對(duì)管理界面的訪問(wèn)記錄。

僵尸網(wǎng)絡(luò)被破壞，惡意軟件從C2服務(wù)器中移除

美國(guó)聯(lián)邦調(diào)查局(FBI)從Watchguard設(shè)備中刪除了被認(rèn)定為用于命令和控制服務(wù)器的惡意軟件，并在清除Cyclops Blink之前通知了美國(guó)和國(guó)外受感染設(shè)備的所有者。聯(lián)邦調(diào)查局局長(zhǎng)克里斯托弗?雷警告稱：“雖然我們?cè)谙蚯斑~走，但任何充當(dāng)機(jī)器人的Firebox設(shè)備未來(lái)仍然容易被攻擊，所以設(shè)備所有者還是應(yīng)該盡快采取Watchguard的檢測(cè)和補(bǔ)救措施?！?/p>

WatchGuard已分享了將受感染的Firebox設(shè)備恢復(fù)到干凈狀態(tài)并將其更新到最新Fireware操作系統(tǒng)版本的說(shuō)明，以防止未來(lái)被感染。