CISA는 러시아 국가 해커가 악용 한 WatchGuard 버그에 대해 조직에 경고합니다.


사이버 보안 및 인프라 보안 에이전시(CISA)는 연방 민간 기관에 지시하고 월요일에 모든 미국 조직에 WatchGuardFirebox 및 XTM 방화벽 어플라이언스에 영향을 미치는 적극적으로 악용된 버그에 패치를 적용하도록 에 촉구했습니다.

러시아가 후원하는 해킹 그룹인 Sandworm은 GRU 러시아 군사 첩보 기관의 일부로 여겨지며, 이 심각도가 높은 특권 승격의 결함(CVE-2022-23176)을 악용하여 침해당 WatchGuardSmallOffice에서 CyclopsBlink라는 새로운 봇넷을 구축했습니다. /Home Office(SOHO) 네트워크 장치.

“WatchGuardFirebox 및 XTM 어플라이언스를 사용하면 권한이 없는 자격 증명이 있는 원격 공격자가 공개된 관리 액세스를 통해 권한 있는 관리 세션으로 시스템에 액세스할 수 있습니다.” 위협 수준에서 버그를 평가하고 있다고 설명합니다.

이 결함은 인터넷에서 무제한 관리 액세스를 허용하도록 구성된 경우에만 악용할 수 있습니다. 기본적으로 모든 WatchGuard 어플라이언스는 제한된 관리 액세스용으로 구성됩니다.

연방 민간 행정 기관(FCEB) 기관은 11월 구속력 있는 운영 지침(BOD 22-01)에 따라 이러한 보안 결함으로부터 시스템을 보호해야 합니다.

CISA는 5월 2일까지 3주 동안 알려진 악용된 취약점 카탈로그에 오늘 추가된 CVE-2022-23176의 결함에 패치를 적용했습니다.

이 지침은 연방 정부 기관에만 적용되지만 CISA는 WatchGuard 어플라이언스가 위험에 노출되지 않도록 이 공격적으로 악용된 보안 버그 수정을 우선하도록 모든 미국 조직에 강하게 요청했습니다.

악성코드가 WatchGuard 방화벽 어플라이언스의 1%에 도달

샌드웜 상태 해커가 봇넷을 만드는 데 사용하는 맬웨어인 CyclopsBlink는 2019년 6월 이후 CVE-2022-23176 익스플로잇 및 여러 ASUS 라우터 모델을 사용하여 WatchGuardFirebox 방화벽 어플라이언스를 타겟팅합니다. 하는 데 사용됩니다.

펌웨어 업데이트를 통해 장치의 지속성을 확립하고 운영자에게 침해된 네트워크에 대한 원격 액세스를 제공합니다.

감염된 장치의 합법적인 펌웨어 업데이트 채널을 사용하여 악성 코드를 삽입하고 재팩된 펌웨어 이미지를 배포하여 침해된 장치에 대한 액세스를 유지합니다.

이 악성코드도 모듈식이므로 새로운 장치 및 보안 취약점을 쉽게 업그레이드하고 타겟팅하고 악용 가능한 하드웨어의 새로운 풀을 활용할 수 있습니다.

미국과 영국 사이버 보안 및 법 집행 기관이 악성코드를 GRU 해커에 연결시킨 후, WatchGuard는 자체 권고를 발표했으며 Cyclops Blink가 모든 활성 WatchGuard 방화벽 어플라이언스의 약 1%에 도달했을 가능성이 있습니다. 있다고 말했습니다.

영국의 NCSC, FBI, CISA 및 NSA의 공동 권고에 따르면 조직은 감염된 기기의 모든 계정이 침해된 것으로 간주해야 합니다. 관리자는 관리 인터페이스에 대한 인터넷 액세스도 즉시 제거해야 합니다.

봇넷이 파괴되었고 맬웨어가 C2 서버에서 제거되었습니다.

수요일에 미국 정부 당국자는 무기화되어 공격에 사용되기 전에 CyclopsBlink 봇넷의 파괴를 발표했습니다.

FBI는 또한 명령 및 제어 서버로 사용되는 것으로 식별된 Watchguard 장치에서 악성코드를 제거하고 Cyclops Blink 감염을 제거하기 전에 미국 및 해외에서 침해된 장치의 소유자에게 알렸습니다.

“우리가 앞으로 나아갈 때 봇으로 작동하는 Firebox 장치는 소유자가 완화될 때까지 앞으로도 취약할 수 있다는 점에 유의해야 합니다.”라고 FBI 장관의 ChrisWray는 경고합니다. 했다.

“그러므로 이러한 소유자는 계속 진행하고 Watchguard 검색 및 복구 절차를 최대한 빨리 채택해야 합니다.”

WatchGuard는 감염된 Firebox 어플라이언스를 깨끗한 상태로 복원하고 향후 감염을 방지하기 위해 최신 FirewareOS 버전으로 업데이트하는 절차를 공유합니다.

About the author

amazingrecipes.co

Leave a Comment