最近,美国网络安全和基础设施安全局(CISA)已下令联邦民事机构,并敦促所有美国组织修补一个被积极利用并被评为“严重威胁级别”的漏洞,该漏洞影响了全球领先的高效和全方位网络安全解决方案提供商XTM防火墙设备。
黑客是俄罗斯军事情报总局(GRU)的一部分,该机构利用高严重性特权升级(CVE-2022-)的漏洞,在被黑客攻击的小型办公室/家庭办公室(SOHO)网络设备上建立一个新的僵尸网络。
和XTM设备,使得拥有非特权凭据的远程攻击者能够通过公共管理访问权限以会话管理权限访问系统。默认情况下,所有设备的访问都受到限制,只有将它们设置为允许来自的无限制管理访问,远程攻击者才能利用此漏洞。
根据美国11月发布的绑定操作指令(BOD22-01),相关机构必须保护其系统免受安全漏洞的影响。美国网络安全和基础设施安全局(CISA)给了三周的时间(5月2日之前)来修复新添加到已知被利用漏洞列表中的CVE-2022-23176漏洞。虽然这一指令仅适用于联邦机构,但美国网络安全和基础设施安全局(CISA)也强烈敦促所有组织优先修复这一被滥用的安全漏洞,以避免其WatchGuard设备受损。
1%的WatchGuard防火墙设备受到恶意软件的攻击。
CyclopsBlink是沙虫黑客组织用来创建僵尸网络的恶意软件。它至少从2019年6月开始被用于攻击具有CVE-2022-23176漏洞的WatchGuardFirebox防火墙设备和几个华硕路由器。
该恶意软件通过固件更新在设备上建立持久性,并为其运营商提供对受损网络的远程访问。此外,被感染设备的合法固件更新通道被用于通过注入恶意代码和部署重新打包的固件映像来维持对设备的访问。该恶意软件也是模块化的,可以轻松升级和瞄准设备和安全漏洞,并利用新的硬件池。
在美国和英国的网络安全和执法机构将该恶意软件与俄罗斯军事情报总局(GRU)的黑客联系起来后,WatchGuard发布公告称,CyclopsBlink可能攻击了约1%的WatchGuard防火墙设备。
来自美国国家网络安全中心(NCSC)、联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及美国国家安全局(NSA)的联合顾问表示,组织应该假设受感染设备上的所有账户都被盗用,管理员应该立即删除管理界面的访问记录。
僵尸网络被摧毁,恶意软件已从C2服务器上移除。
联邦调查局(FBI)从Watchguard设备中删除了被确定为用于命令和控制服务器的恶意软件,并在清理CyclopsBlink之前通知了美国和国外受感染设备的所有者。联邦调查局局长克里斯托弗雷(Christopher Ray)警告说:“尽管我们正在前进,但任何充当机器人的Firebox设备在未来仍容易受到攻击,因此设备所有者应该尽快采取Watchguard的检测和补救措施。”
WatchGuard已经分享了将受感染的Firebox设备恢复到干净状态的说明,并将其更新到Fireware操作系统的最新版本,以防止未来的感染。
本文链接:http://www.slxf119.com/18065.html 转载需授权!
网友评论