Ir para conteúdo

Alerta de Ameaça - WatchGuard Firebox

TIPO
Código Malicioso
SISTEMAS AFETADOS
WatchGuard Firebox
ECOSSISTEMA
Linux
Descrição

A WatchGuard publicou um artigo em conjunto com o FBI, CISA, DOJ e UK NCSC* sobre a identificação e utilização do código malicioso Cyclops Blink em dispositivos de firewall WatchGuard Firebox.
A análise mostra que o código malicioso contém módulos especificamente desenvolvidos para transferir ficheiros de e para servidores de comando e controlo, recolher e exfiltrar informações e atualizar o próprio código malicioso.
Acredita-se que o atacante teve acesso e infetou os dispositivos através de uma vulnerabilidade anteriormente identificada e para a qual existe correção desde maio de 2021.
Dar nota que a presença do Cyclops Blink não significa que a organização seja o alvo principal; as máquinas podem servir para realizar ataques a outras organizações.

 

Impacto

Caso não sejam aplicadas as resoluções recomendadas, um atacante pode executar código arbitrário.

 

Resolução

É recomendada a aplicação das 4 etapas do Plano de Diagnóstico e Mitigação disponibilizado pela WatchGuard, que passam pelas fases de Diagnóstico, Remediação, Prevenção e Investigação.

Em suma:

  • Diagnóstico: Foram disponibilizadas três plataformas de diagnóstico que informam se o dispositivo de firewall está infetado. Numa das plataformas o diagnóstico é feito através do upload dos ficheiros log.
  • Remediação: Caso se confirme a infeção por Cyclops Blink, recomenda-se seguir as instruções para restaurar o dispositivo e, posteriormente, aplicar as atualizações para a versão mais recente de Fireware OS.
  • Prevenção: Alteração de todas as credenciais associadas ao dispositivo; configuração de regras para a negação de acesso sem restrições a partir do exterior; e aplicação das atualizações mais recentes.
  • Investigação: Iniciar uma investigação forense em caso de identificação positiva.

Importa referir que aplicar apenas a atualização de software mais recente não é suficiente, pois se um dispositivo já estiver comprometido, o código malicioso não é erradicado do mesmo.

Os Indicadores de Compromisso podem ser consultados no relatório do UK NCSC, bem como regras YARA.
A WatchGuard disponibilizou também um conjunto de Frequently Asked Questions (FAQ).


* Federal Bureau of Investigation, Cybersecurity and Infrastructure Security Agency, Department of Justice e UK National Cyber Security Centre.

Última atualização em 13-12-2020