Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls

Sicherheit (Pexels, allgemeine Nutzung)[English]Administratoren von Watchguard Netzwerk-Firewalls (WatchGuard Fireware for Firebox) müssen aufpassen. Eine Cyclops Blink-Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus des Herstellers in infizierten Geräten so zu missbrauchen, dass sie persistent ist, d. h. sie überlebt Neustarts. Die Cyclops Blink-Malware wird von der dem russischen Militärgeheimdienst GRU zugeschriebenen Gruppe Sandworm eingesetzt und soll weltweit 1 % der Netzwerk-Firewall-Geräte des Netzwerkgeräteherstellers Watchguard infiziert haben.


Anzeige

WatchGuard Technologies ist ein Anbieter von Internetsicherheitslösungen mit Sitz in Seattle (USA). Bekannt wurde WatchGuard durch ihre Firewall und VPN-Lösung für kleine und mittelständische Unternehmen.

Gravierende Sicherheitslücke bei WatchGuard

Blog-Leser der Seb weist in diesem Kommentar auf eine Sicherheitslücke bei WatchGuard hin – und auch Blog-Leser Timo hat im Diskussionsbereich einen Hinweis hinterlassen (danke dafür):

Moin,

Bei Watchguard ist heute eine gravierende Sicherheitslücke offen gelegt worden. Das Botnetz „Cyclops Blink" hat scheinbar schon mehrere Watchguards befallen. Es wird geraten so schnell wie möglich unten stehende Maßnahmen zu treffen.

Auch unter folgenden Seiten nachzulesen:
https://detection.watchguard.com/
https://www.boc.de/watchguard-info-portal/blog/ (Auf Deutsch)

Gemäß dieser Meldung untersucht WatchGuard eine Infektion seiner Firewall durch das Cyclops Blink-Botnet. Etwa 1 Prozent der WatchGuard Firewall-Appliances sind wohl durch Cyclops Blink infiziert. Das Cyclops Blink-Botnet wird von staatlichen russischen Cyber-Akteuren betrieben (siehe auch Russische Sandworm-Gruppe für Cyclops Blink-Botnet verantwortlich).

Die Cyclops Blink-Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus des Herstellers in infizierten Geräten so zu missbrauchen, dass sie persistent ist und Neustarts überlebt. Blog-Leser Frank hat mich per Mail ebenfalls über einen WatchGuard Support Alert informiert. Frank hat noch folgenden Sceenshot mitgeschickt.


Anzeige

WatchGuard Warning

Der WatchGuard-Installer weist auf dieses bekannt gewordene Problem bei Firmware-Updates hin und warnt, keine Updates der Firebox vorzunehmen, bevor nicht der verlinkten Knowledge-Base-Artikel gelesen und berücksichtigt wurde. Es geht darum, dass die Malware bei infizierten Firewall-Appliances den Update-Vorgang missbrauchen kann. WatchGuard hat dazu den Knowledge-Base-Artikel 4-Step Cyclops Blink Diagnosis and Remediation Plan veröffentlicht. WatchGuard stellt drei Tools zur Verfügung, mit denen Administratoren feststellen können, ob Ihre Firebox von Cyclops Blink betroffen ist:

  • Cyclops Blink Web-Detektor
  • WatchGuard System Manager Cyclops Blink-Detektor
  • WatchGuard Cloud Cyclops Blink Detektor

Der Hersteller empfiehlt, ein Erkennungstool auszuwählen und es zur Diagnose einer oder mehrerer Fireboxen zu verwenden. Informationen zu den einzelnen Maßnahmen, Tools sowie zu Firmware-Updates finden sich im Knowledge-Base-Artikel 4-Step Cyclops Blink Diagnosis and Remediation Plan sowie in diesem Blog-Beitrag (deutsch) sowie in diesem Blog-Beitrag (englisch).

WatchGuard ist auf der Grundlage unserer eigenen Untersuchung, einer gemeinsam mit Mandiant durchgeführten Untersuchung und der vom FBI zur Verfügung gestellten Informationen zu dem Schluss gekommen, dass es keine Beweise für eine Datenexfiltration von WatchGuard oder seinen Kunden gibt und dass Firewall-Appliances nicht gefährdet sind, wenn sie nie so konfiguriert waren, dass sie einen uneingeschränkten Verwaltungszugriff aus dem Internet zulassen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls

  1. Mira Bellenbaum sagt:

    Immer wieder werden staatliche Hacker der Russen oder der Chinesen bei der "Arbeit" ertappt.

    Warum in Gottes Namen kappt man nicht einfach die Leitungen?
    Haben jene Staaten keinen Zugriff mehr auf das WWW, dann ist Schluss mit dem Scheiß!

    Alternative, bestimmte IP-bereiche einfach sperren! (Der Adressbereich für Russland & für China)

    Wird Kommunikation gebraucht, Briefe!

  2. janil sagt:

    Sicher ist das machbar, nur würde es innerhalb kürzester Zeit kein Internet, wie wir es jetzt kennen, mehr geben.
    Wobei die Möglichkeit, das genau das passiert, ich persönlich nicht mehr für unmöglich halte.

  3. Blupp sagt:

    Russische IP-Adressen und Domains zu sperren wird nicht viel bringen, zumindest nicht für lange Zeit. Hab grad die Seite nicht im Kopf, es war jedoch zu lesen, dass auch 30000 deutsche Geräte aus dem SoHo-Bereich mit russischer Malware befallen wären. Die könnten grundsätzlich andere befallen und haben eine deutsche IP.

    Nachtrag: bei Heise wars
    https://www.heise.de/news/Russische-Cybergang-Cyclops-Blink-Botnet-befaellt-WatchGuard-Firewalls-6523973.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag

    • Mira Bellenbaum sagt:

      So wie es China schafft das WWW auszusperren, sollte es durchaus möglich sein Russland den Zugang zum WWW zu verwehren.
      Einige Verbindungen kappen und die Verbliebenen kontrollieren.

      Kann nicht so schwer sein. Hat ein Vulkanausbruch den halben Pazifik vom Netz genommen,
      sollten es die Demokratien der Welt auch hinbekommen, Russland vom Netz zu nehmen.

      • Blupp sagt:

        Und dann kommt ein Mitstreiter dieses Kriegstreibers und schleust sein Paket innerhalb der EU, von Asien oder anderen Orten ins Netz. Ich denke doch, es ist schwer sich gegen solche Sabotage zu verteidigen.

        • Mira Bellenbaum sagt:

          Ach Du meinst, diese ganzen Hackergruppen ziehen dann ins Ausland,
          und telefonieren dann mit dem Kreml was zu tun ist?

          • Blupp sagt:

            Zumindest telefonieren die nicht wie allgemein üblich. Die Telefonie ist heute ein Dienst im Netz und wenn die Leitungen gekappt sind wird das nichts.
            Jedoch reden wir über einen Staat der eigene Satelliten zur Kommunikation im Orbit hat und bei dem Desinformation zum poltischen Programm gehört. Da darf man schon vermuten, dass staatliche Mitarbeiter über solche Kanäle befehligt werden. Dass es Mtarbeiter im Ausland gibt ist auch kein Geheimnis, die müssen somit nicht losziehen.
            Was man dann aber auch macht, wenn man alle Leitungen kappt, man nimmt sich selbst einen Gesprächskanal. Reden ist besser als schiessen, was wenn alle Leitungen gekappt sind schwieriger wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.