CISA 警告:WatchGuard アプライアンスの深刻な脆弱性を悪用リストに追加

CISA warns orgs of WatchGuard bug exploited by Russian state hackers

2022/04/11 BleepingComputer — 月曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、すべての連邦政府民間機関と米国組織に対して、WatchGuard Firebox および XTM Firewall 製品で積極的に悪用されているバグを修正するよう促した。ロシアの軍事情報機関 GRU に属するとされる、国家に支援されたハッキング・グループ Sandworm も、この深刻度の高い特権昇格の脆弱性 CVE-2022-23176 を悪用し、感染させた WatchGuard Small Office/Home Office (SOHO) ネットワーク・デバイスを用いて、Cyclops Blink と呼ばれる新しいボットネットを構築している。

WatchGuard は、「WatchGuard Firebox および XTM アプライアンスでは、非特権の資格を持つリモート攻撃者が、公開された管理アクセスを通じて、特権管理セッションでシステムにアクセスすることが可能だ。このバグを、重要な脅威レベルと評価した」と、セキュリティ・アドバイザリで説明している。

この欠陥は、インターネットからの無制限の管理アクセスを許可するよう、コンフィグレーションされている場合だけに悪用される可能性があるという。デフォルトでは、すべての WatchGuard アプライアンスは、管理アクセスが制限されるように設定されている。

連邦政府民間行政機関 (FCEB) は、2021年11月の拘束的運用指令 (BOD 22-01) に従い、これらのセキュリティ欠陥からシステムを保護する必要がある。今日、CISA は、Known Exploited Vulnerabilities カタログに CVE-2022-23176 を追加し、5月2日までの3週間でパッチを適用するよう、FCEB 機関に要求している。

この指令は連邦政府機関たけに適用されるものであるが、すべての米国組織に対しても、この積極的に悪用されている脆弱性の修正を優先し、WatchGuard アプライアンスが危険にさらされないようにすべきだと、CISA は強く要請している。

WatchGuard ファイアウォール・アプライアンスの 1% にマルウェアが感染

国家に支援された Sandworm ハッカーが、ボットネットを構築するために使用したマルウェア Cyclops Blink は、CVE-2022-23176 の悪用を許す WatchGuard Firebox Firewall 家電や、複数の ASUS ルーター標的として、2019年6月ころから使用されてきた。

このマルウェアは、ファームウェアが更新されてもデバイス上で永続性を維持し、侵害したネットワークへのリモート・アクセスをオペレーターに提供する。具体的に言うと、感染させたデバイスの正規ファームウェア更新チャネルを介して悪意のコードを注入し、リパックされたファームウェア・イメージを展開することで、感染させたデバイスへのアクセスを維持する。

また、このマルウェアはモジュール化されているため、アップグレードも容易であり、新しいデバイスや脆弱性を狙うことが可能であり、悪用するハードウェアの新しいプールを利用できる。

米国と英国のサイバー・セキュリティおよび法執行機関が、このマルウェアを GRU のハッカーと関連付けた後に、WatchGuard は独自のアドバイザリを発表した。そして、Cyclops Blink は、アクティブな WatchGuard Firewall アプライアンスの、およそ 1% を攻撃した可能性があると述べている。

英国の NCSC と FBI/CISA/NSA の共同勧告では、感染したデバイス上の全アカウントが侵害されたと、ユーザー組織は見なすべきだと述べられている。また、Admin は、管理インターフェイスへのインターネット・アクセスを、直ちに削除する必要があるという。

ボットネットが破壊され C2 サーバーからマルウェアが削除される

水曜日に米国政府当局は、Cyclops Blink ボットネットが兵器化され攻撃に使用される前に、それを破壊したと発表した。また、FBI は、Cyclops Blink 感染を浄化する前に、Command and Control (C2) サーバーとしての使用が特定された Watchguard デバイスからマルウェアを削除し、米国内外の感染したデバイスの所有者に通知した。

FBI の Director である Chris Wray は、「今後、ボットとして動作していた Firebox デバイスは、その所有者により緩和されるまで、依然として脆弱性を残す可能性があることに注意する必要がある。したがって、それらの所有者は、可能な限り早急に Watchguard に対する検出/修復の手順を採用する必要がある」と警告している。

Watchguard は、感染した Firebox アプライアンスをクリーンな状態に復元し、また、今後の感染を防ぐために、最新の Fireware OS バージョンへのアップデート手順を共有している。

CISA の悪用リストは、すっかりお馴染みの脆弱性情報源になりましたね。たとえば、NVD や Vuldb といったサイトは、脆弱性を網羅的にカバーしていくものですが、逆に悪用の実績に絞り込んで、情報を提供しているのが、この CISA のスタイルです。よろしければ、3月11日の「CISA の脆弱性カタログ:悪用という現実に基づく素晴らしい出発点」をご参照ください。

%d bloggers like this: