{"id":262856,"date":"2022-02-24T02:32:07","date_gmt":"2022-02-24T01:32:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262856"},"modified":"2022-02-24T02:56:20","modified_gmt":"2022-02-24T01:56:20","slug":"cyclops-blink-malware-zielt-auf-watchguard-netzwerk-firewalls","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/24\/cyclops-blink-malware-zielt-auf-watchguard-netzwerk-firewalls\/","title":{"rendered":"Cyclops Blink-Malware zielt auf WatchGuard Netzwerk-Firewalls"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Administratoren von Watchguard Netzwerk-Firewalls (WatchGuard Fireware for Firebox) m\u00fcssen aufpassen. Eine Cyclops Blink-Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus des Herstellers in infizierten Ger\u00e4ten so zu missbrauchen, dass sie persistent ist, d. h. sie \u00fcberlebt Neustarts. Die Cyclops Blink-Malware wird von der dem russischen Milit\u00e4rgeheimdienst GRU zugeschriebenen Gruppe Sandworm eingesetzt und soll weltweit 1 % der Netzwerk-Firewall-Ger\u00e4te des Netzwerkger\u00e4teherstellers Watchguard infiziert haben.<\/p>\n

<\/p>\n

\"\"WatchGuard Technologies<\/a> ist ein Anbieter von Internetsicherheitsl\u00f6sungen mit Sitz in Seattle<\/a> (USA). Bekannt wurde WatchGuard durch ihre Firewall und VPN-L\u00f6sung f\u00fcr kleine und mittelst\u00e4ndische Unternehmen.<\/p>\n

Gravierende Sicherheitsl\u00fccke bei WatchGuard<\/h2>\n

Blog-Leser der Seb <\/em>weist in diesem Kommentar<\/a> auf eine Sicherheitsl\u00fccke bei WatchGuard<\/a> hin – und auch Blog-Leser Timo hat im Diskussionsbereich einen Hinweis hinterlassen (danke daf\u00fcr):<\/p>\n

Moin,<\/p>\n

Bei Watchguard ist heute eine gravierende Sicherheitsl\u00fccke offen gelegt worden. Das Botnetz \u201eCyclops Blink\" hat scheinbar schon mehrere Watchguards befallen. Es wird geraten so schnell wie m\u00f6glich unten stehende Ma\u00dfnahmen zu treffen.<\/p>\n

Auch unter folgenden Seiten nachzulesen:
\nhttps:\/\/detection.watchguard.com\/<\/a>
\nhttps:\/\/www.boc.de\/watchguard-info-portal\/blog\/<\/a> (Auf Deutsch)<\/p><\/blockquote>\n

Gem\u00e4\u00df dieser Meldung<\/a> untersucht WatchGuard eine Infektion seiner Firewall durch das Cyclops Blink-Botnet. Etwa 1 Prozent der WatchGuard Firewall-Appliances sind wohl durch Cyclops Blink infiziert. Das Cyclops Blink-Botnet wird von staatlichen russischen Cyber-Akteuren betrieben (siehe auch Russische Sandworm-Gruppe f\u00fcr Cyclops Blink-Botnet verantwortlich<\/a>).<\/p>\n

Die Cyclops Blink-Malware ist in der Lage, einen legitimen Firmware-Update-Mechanismus des Herstellers in infizierten Ger\u00e4ten so zu missbrauchen, dass sie persistent ist und Neustarts \u00fcberlebt. Blog-Leser Frank hat mich per Mail ebenfalls \u00fcber einen WatchGuard Support Alert<\/a> informiert. Frank hat noch folgenden Sceenshot mitgeschickt.<\/p>\n

\"WatchGuard<\/p>\n

Der WatchGuard-Installer weist auf dieses bekannt gewordene Problem bei Firmware-Updates hin und warnt, keine Updates der Firebox vorzunehmen, bevor nicht der verlinkten Knowledge-Base-Artikel gelesen und ber\u00fccksichtigt wurde. Es geht darum, dass die Malware bei infizierten Firewall-Appliances den Update-Vorgang missbrauchen kann. WatchGuard hat dazu den Knowledge-Base-Artikel 4-Step Cyclops Blink Diagnosis and Remediation Plan<\/a> ver\u00f6ffentlicht. WatchGuard stellt drei Tools zur Verf\u00fcgung, mit denen Administratoren feststellen k\u00f6nnen, ob Ihre Firebox von Cyclops Blink betroffen ist:<\/p>\n