Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager
Update 2022-03-24, 09:33 Uhr:
-
-
- Bitte Testen Sie mit dem WSM Blink detektor (s.u.) _VOR_ dem Upgrade der Fireware auf die 12.7.2 U2.
der Test kann nach dem Update nicht mehr ausgeführt werden und führt zu einer “inconclusive”-Meldung
(screenshots siehe unten). Sollten Sie die Firebox bereits auf die 12.7.2 Update 2 aktualisiert haben, verwenden Sie bitte
den Test mittels Webdetektor.
Details zur Fehlermeldung finden Sie in diesem knowledgbase-Artikel.
Vielen Dank an Hr. Lange für die Information im Kommetar.
- Bitte Testen Sie mit dem WSM Blink detektor (s.u.) _VOR_ dem Upgrade der Fireware auf die 12.7.2 U2.
-
Um zu prüfen, ob Ihre WatchGuard Firebox von “Cyclops Blink” betroffen ist, gehen Sie wie folgt vor:
- Installieren Sie den aktuellsten WatchGuard System Manager WSM 12.7.2 Update 2.
(der WatchGuard Blink Detector ist in der 12.8.beta. bis einschl. beta 10 noch nicht enthalten) - Starten Sie den WSM
- Starten Sie den Cyclops Blink Detector unter Tools => Cyclops Blink Detektor und geben Sie die Credentials für die Firewall ein. Starten Sie den Check. Sie sollten folgendes sehen:
In diesem Fall ist Ihre Firewall nicht betroffen, aber Sie sollten trotzdem folgende Maßnahmen zur Prävention durchführen:
- Upgraden Sie auf die neueste für Sie verfügbare Fireware-Version (Stand 23.02.2022):
- Fireware v12.7.2 Update 2 [Release Notes v12.7.2 Update 2] für Firebox T20, T40, T55, T70, T80, M270, M290, M370, M390, M400, M440, M470, M500, M570, M590, M670, M690, M4600, M5600, M4800, M5800 sowie für die virtuellen FireboxV und Firebox Cloud Modelle
- Fireware v12.5.9 Update 2 [Release Notes v12.5.9 Update 2] für Firebox T10, T15, T30, T35, T50, M200, M300
- Fireware v12.1.3 Update 8 [Release Notes v12.1.3 Update 8] für Firebox XTMv, XTM 25, 26, 33, 330, 515, 525, 535, 545, 850, 860, 870, 1520, 1525, 2520 sowie die noch etwas älteren Modelle XTM 810, 820, 830, 1050, 2050
- Stellen Sie sicher, dass das Management der Firebox von Any-External nicht erlaubt ist (per Default ist das nicht erlaubt, das müsste schon jemand explizit so eingerichtet/angelegt haben).
Öffnen Sie dazu einen Policy Manager 12.7.2 Update 2 auf Ihrer Box. Wenn Sie folgende Warnung sehen, sollten Sie die Policies prüfen und ggf. das Any-External entfernen (außer Sie greifen gerade von Extern auf Ihre Firewalls zu!)
Bei folgender Ausgabe müssen Sie entsprechend aktiv werden. Eine genaue Anleitung dazu finden Sie im Artikel >> HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion.
Sollten Sie bereits auf die 12.7.2 U2 aktualisiert haben, können folgende Ausgaben im WSM Cyclops Blink Detector erscheinen.
Hier wurde die Box 203.0.113.101 bereits auf 12.7.2 Update 2 aktualisiert:
WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber - BOC IT-Security GmbH
wenn das update installiert wurde funktioniert der Cyclops Blink Detektor nicht mehr. ist wohl ein bekanntes problem.. d.h. es ist absolut wichtig den test vor dem Upgrade zu machen.
WSM Cyclops Blink Detector fails to scan devices that run Fireware v12.7.2 U2, v12.5.9 U2, or v12.1.3 U8
https://techsearch.watchguard.com/KB?type=Known%20Issues&SFDCID=kA16S000000SOJ2SAO&lang=en_US
Vielen Dank für den Hinweis, ich habe den Artikel ergänzt und noch zwei Screenshots angehängt.
Fireware v12.7.2 Update 2 jetzt verfügbar (auch Updates für ältere Versionen) - BOC IT-Security GmbH
Cyclops Blink Detector - Selbstcheck mit dem WatchGuard WebDetector - BOC IT-Security GmbH