Las letras WTF en una burbuja de diálogo gigante.

El proveedor de seguridad WatchGuard ha reparado silenciosamente una vulnerabilidad crítica en varios de sus dispositivos de firewall, y solo reveló explícitamente la falla el miércoles después de que se reveló que los piratas informáticos del establecimiento militar de Rusia la han estado explotando en masa para construir una red de bots masiva.

Los organismos encargados de hacer cumplir la ley en los EE. UU. y el Reino Unido advirtieron el 23 de febrero que los miembros de Sandworm, uno de los grupos de piratería informáticos más agresivos y de élite del gobierno ruso, estaban infectando los firewalls de WatchGuard con malware que los convertía en parte de una red de bots masiva. El mismo día, WatchGuard lanzó una herramienta de software e instrucciones para identificar y bloquear dispositivos infectados. Las instrucciones incluían asegurarse de que los dispositivos estuvieran ejecutando la última versión del sistema operativo Fireware de la empresa.

Exponer a los clientes a riesgos innecesarios

En documentos judiciales revelados el miércoles, un agente del FBI escribió que los firewalls de WatchGuard pirateados por Sandworm eran «vulnerables a un exploit que permite el acceso remoto no autorizado a los paneles de administración de estos dispositivos». Fue solo después de que se publicó el documento judicial que WatchGuard publicó esta pregunta frecuente, que primero hizo referencia a CVE-2022-23176, una vulnerabilidad con una gravedad de 8.8 de 10.

«Los dispositivos WatchGuard Firebox y XTM permiten que un atacante remoto con credenciales sin privilegios acceda al sistema con una sesión de administración privilegiada a través del acceso de administración expuesto», se lee en la descripción. «Esta vulnerabilidad afecta a Fireware OS antes de 12.7.2_U1, 12.x antes de 12.1.3_U3 y 12.2.x a 12.5.x antes de 12.5.7_U3».

Las preguntas frecuentes de WatchGuard indican que CVE-2022-23176 fue «completamente abordado por las correcciones de seguridad introducidas en las actualizaciones de software en mayo de 2021». Las preguntas frecuentes continúan diciendo que las investigaciones realizadas por WatchGuard y la firma de seguridad de terceros Mandiant «no encontraron evidencia de que el atacante explotara ninguna otra vulnerabilidad».

Cuando WatchGuard lanzó las actualizaciones de software de mayo de 2021, la empresa solo hizo las referencias más indirectas a la vulnerabilidad.

«Estas versiones también incluyen correcciones para abordar problemas de seguridad identificados internamente», dijo la compañía en una publicación. “Estos problemas fueron encontrados por nuestros ingenieros y no se han encontrado activamente en la naturaleza. Para no engañar a los posibles actores de amenazas para que encuentren y exploten estos problemas descubiertos internamente, no compartimos detalles técnicos sobre estos errores que contenían”.

Según las preguntas frecuentes del miércoles, los agentes del FBI informaron a WatchGuard en noviembre que alrededor del 1 por ciento de los firewalls vendidos estaban infectados con Cyclops Blink, una nueva variedad de malware desarrollada por Sandworm para reemplazar una botnet que el FBI desmanteló en 2018. Tres meses después de enterarse de las infecciones por parte del FBI, WatchGuard lanzó la herramienta de detección y el plan de remediación y diagnóstico de 4 pasos que la acompaña para los dispositivos infectados. Un día después, el 24 de febrero, la empresa recibió la designación CVE-2022-23176.

Sin embargo, incluso después de todos estos pasos, incluida la obtención del CVE, la empresa aún no ha revelado explícitamente la vulnerabilidad crítica corregida en las actualizaciones de software de mayo de 2021. Los investigadores de seguridad, muchos de los cuales han trabajado durante semanas para eliminar los dispositivos vulnerables de Internet, han criticado a WatchGuard por no revelar esto explícitamente.

«Resulta que los actores de amenazas *DID* encontraron y explotaron los problemas», dijo Will Dormann, analista de vulnerabilidades de CERT, en un mensaje privado. Se refería a la declaración de mayo de WatchGuard de que la compañía está ocultando detalles técnicos para evitar que se exploten las vulnerabilidades. «Y sin un CVE emitido, más de sus clientes estaban desprotegidos de lo que necesitaban».

Él continuó:

WatchGuard debería haber asignado un CVE cuando lanzó una actualización que corrige la vulnerabilidad. También tuvieron una segunda oportunidad de asignar un CVE cuando el FBI los contactó en noviembre. Pero esperaron casi 3 meses completos después de la notificación del FBI (alrededor de 8 meses en total) antes de asignar un CVE. Este comportamiento es dañino y pone a sus clientes en un riesgo innecesario.

Los funcionarios de WatchGuard no respondieron a las repetidas solicitudes de aclaración o comentarios.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí