Alerta de Ameaça - WatchGuard Firebox
A WatchGuard publicou um artigo em conjunto com o FBI, CISA, DOJ e UK NCSC* sobre a identificação e utilização do código malicioso Cyclops Blink em dispositivos de firewall WatchGuard Firebox.
A análise mostra que o código malicioso contém módulos especificamente desenvolvidos para transferir ficheiros de e para servidores de comando e controlo, recolher e exfiltrar informações e atualizar o próprio código malicioso.
Acredita-se que o atacante teve acesso e infetou os dispositivos através de uma vulnerabilidade anteriormente identificada e para a qual existe correção desde maio de 2021.
Dar nota que a presença do Cyclops Blink não significa que a organização seja o alvo principal; as máquinas podem servir para realizar ataques a outras organizações.
Caso não sejam aplicadas as resoluções recomendadas, um atacante pode executar código arbitrário.
É recomendada a aplicação das 4 etapas do Plano de Diagnóstico e Mitigação disponibilizado pela WatchGuard, que passam pelas fases de Diagnóstico, Remediação, Prevenção e Investigação.
Em suma:
- Diagnóstico: Foram disponibilizadas três plataformas de diagnóstico que informam se o dispositivo de firewall está infetado. Numa das plataformas o diagnóstico é feito através do upload dos ficheiros log.
- Remediação: Caso se confirme a infeção por Cyclops Blink, recomenda-se seguir as instruções para restaurar o dispositivo e, posteriormente, aplicar as atualizações para a versão mais recente de Fireware OS.
- Prevenção: Alteração de todas as credenciais associadas ao dispositivo; configuração de regras para a negação de acesso sem restrições a partir do exterior; e aplicação das atualizações mais recentes.
- Investigação: Iniciar uma investigação forense em caso de identificação positiva.
Importa referir que aplicar apenas a atualização de software mais recente não é suficiente, pois se um dispositivo já estiver comprometido, o código malicioso não é erradicado do mesmo.
Os Indicadores de Compromisso podem ser consultados no relatório do UK NCSC, bem como regras YARA.
A WatchGuard disponibilizou também um conjunto de Frequently Asked Questions (FAQ).
* Federal Bureau of Investigation, Cybersecurity and Infrastructure Security Agency, Department of Justice e UK National Cyber Security Centre.