US Cybersecurity and Infrastructure Security Agency (CISA) beordrade alla myndigheter i Federal Civil Executive Branch (FCEB) att korrigera (öppnas i en ny flik) alla WatchGuard-enheter omedelbart efter att ha upptäckt en serie allvarliga sårbarheter.
Tillkännagivandet hävdar att en välkänd rysk statssponsrad hotaktör vid namn Sandworm missbrukar ett privilegieupptrappningsfel, identifierat som CVE-2022-23176, som finns i WatchGuard Firebox- och XTM-brandväggsenheter (öppnas i en ny flik).
Gruppen, som enligt uppgift är nära kopplad till GRU:s militära underrättelsetjänst, använder felet för att skapa ett nytt botnät som heter Cyclops Blink.
Modulär skadlig kod
"WatchGuard Firebox- och XTM-apparater tillåter en fjärrangripare med oprivilegierade referenser att komma åt systemet med en privilegierad hanteringssession via exponerad hanteringsåtkomst", står det i säkerhetsrådgivningen.
Även om felet ansågs vara kritiskt kräver dess missbruk att målterminalen godkänner obegränsad hanteringsåtkomst från Internet, påminner BleepingComputer. WatchGuard-enheter är som standard inte konfigurerade på detta sätt.
Ändå har FCEB-företag fram till den 2 maj 2022 på sig att rätta till felet.
Cyclops Blink malware (öppnas i en ny flik) är efterföljaren till det nu nedlagda VPNFilter. Det tillåter Sandworm att utföra cyberspionage, starta DDoS-attacker (distributed denial of service), låsa in komprometterade enheter och störa nätverk.
Det tros också vara modulärt, som kan uppgraderas för att kompromissa och missbruka ytterligare hårdvara.
I mars 2022 tog Federal Bureau of Investigation (FBI) ner ett storskaligt Sandworm-botnät.
Efter att ha fått grönt ljus från domstolar i Kalifornien och Pennsylvania tog FBI bort Cyclops Blink från sina C2-servrar och tog tusentals komprometterade slutpunkter offline. Justitiedepartementet förklarade att razzian var en framgång, men rådde ändå enhetsägare att granska det ursprungliga meddelandet och göra sina enheter säkrare.
Cyclops Blink hade varit aktiv sedan februari, sa justitiedepartementet (DoJ), och även om brottsbekämpande myndigheter lyckades säkra några av de komprometterade enheterna, var majoriteten fortfarande infekterade och användes av hotaktörer.
"Jag måste varna för att när vi går framåt kan alla Firebox-enheter som har fungerat som bots förbli sårbara i framtiden tills deras ägare mildrar detta", säger FBI-chefen Chris Wray.
"Därför bör dessa ägare alltid gå vidare och anta Watchguards detekterings- och saneringssteg så snart som möjligt."
Via: BleepingComputer (öppnas i en ny flik)