WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber
Überblick
Worum geht es?
- WatchGuard hat am 23.02.2022 um 16:00 Uhr publik gemacht, dass es Angreifern möglich bzw. möglich gewesen ist, sich unberechtigt auf eine WatchGuard Firebox aufzuschalten und dort eine Fremdsoftware zu installieren.
- Dieser Angriff ist bereits unter dem Namen Cyclops Blink Infection bekannt. Hinter dem Angriff steht eine vermutlich von Russland geförderte Gruppe von Cyberkriminellen.
- Die eng mit offiziellen Stellen wie dem amerikanischen FBI, der CISA, dem DOJ und dem britischen NCSC1 durchgeführten forensischen Untersuchungen konnten nicht aufzeigen, dass die eventuell installierte Fremdsoftware in die zu schützenden Kunden-Netzwerke eingedrungen ist oder dass Daten mitgelesen oder ausgeleitet worden sind.
- Auch das eigene Netzwerk und die Kundendaten von WatchGuard wurden nicht verletzt oder beeinträchtigt.
- Die infiltrierten Systeme sollten vielmehr in der Zukunft als Teil eines globalen Botnet missbraucht werden.
Welche Systeme können betroffen sein?
- Basierend auf aktuellen Schätzungen könnte Cyclops Blink etwa 1% der aktiven WatchGuard-Firewall-Appliances unabhängig von Modell und Versionsstand beeinträchtigt haben; andere WatchGuard-Produkte sind nicht betroffen.
- Die Schwachstelle konnte nur dann von den Angreifern ausgenutzt werden, wenn die für Admin-Zwecke verwendeten Ports 8080/tcp, 4118/tcp, 4105/tcp und 4117/tcp direkt aus dem Internet (=”Any-External”) erreichbar waren.
- Dies entspricht aber nicht dem Best Practice und den von WatchGuard publizierten Installationshinweisen. Im Auslieferungszustand ab Werk (“Setup Wizard”) sind diese Admin-Ports nur von lokalen Netzwerken (“Any-Trusted” oder “Any-Optional”) nutzbar.
- Wenn diese Ports aus dem Internet nicht geöffnet waren, ist die WatchGuard Firebox Appliance auch nicht in Gefahr gewesen!
- Beachten Sie in diesem Zusammenhang bitte auch unseren Blogartikel HOWTO: Best Practices für Firebox Remote Management
Was ist zu tun?
- WatchGuard hat einen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion veröffentlicht.
- WatchGuard bittet dringend darum, dass die Diagnose auf ALLEN im Markt befindlichen Firebox-Systemen durchgeführt wird.
- Abhilfemaßnahmen sind nur erforderlich, wenn Sie eine infizierte Appliance haben.
- Trotzdem sollten alle Kunden, ob infiziert oder nicht, ihre Appliance(s) auf die neueste Version von Fireware OS aktualisieren.
Bitte führen Sie aber UNBEDINGT die DIAGNOSE durch, BEVOR Sie auf die neueste Fireware-Version aktualisieren.
Alleine durch das Aufspielen der neuen Softwareversion wird eine mögliche Infektion nicht behoben! - Obwohl normalerweise Software-Updates nur dann möglich sind, wenn die WatchGuard Firebox über eine gültige Lizenz verfügt, ermöglicht es WatchGuard in diesem besonderen Fall, dass auch Appliances mit abgelaufener Lizenz einmalig auf die neueste Fireware-Version (siehe weiter unten) aktualisiert werden können. Das gilt auch für ältere Modelle zurück bis XTM 25, 26, 33, 330, 515, 525, 535, 545, die mittlerweile bereits END-OF-LIFE sind. Für noch ältere Modelle wie XTM 21, 22, 23, 505, 510, 520, 530 (die schon seit 2017 END-OF-LIFE sind!) wird jedoch kein Bugfix zur Verfügung gestellt.
Hilfe zur Selbsthilfe
So wie Sie es von BOC gewohnt sind, stellen wir Ihnen sehr gerne qualifiziertes Material als “Hilfe zur Selbsthilfe” zur Verfügung. Hier sind zwei schnelle HOWTO-Artikel aus unserem Technischen Blog. So können Sie selbst überprüfen, ob Sie davon betroffen sind:
- Mit dem WatchGuard System Manager (WSM):
Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager - Online über den von WatchGuard bereitgestellten “WebDetector”:
Cyclops Blink Detector – Selbstcheck mit dem WatchGuard WebDetector - Über die “WatchGuard Cloud”:
Cyclops Blink Detector – Selbstcheck mit der WatchGuard Cloud
Support durch WatchGuard oder BOC
Sofern Ihre WatchGuard Firebox Appliance über eine aktive Lizenz verfügt (was sie unbedingt sollte…!), können Sie bei Support-Fragen über Ihren WatchGuard Account einen kostenfreien Support Case direkt beim WatchGuard Support öffnen.
Die BOC als (einziger) WatchGuard Platinum Partner in Deutschland bietet Ihnen ebenfalls Unterstützung an. Auf unserer BOC Support Info-Seite erklären wir Ihnen unsere Support-Philosophie. Wenn Ihnen unsere Philosophie gefällt, können Sie gerne über unser Ticket-System die aktive Support-Unterstützung durch unsere zertifizierten WatchGuard Certified System Professionals anfordern. Wegen des Cyclops Blink Themas haben wir unsere Supportzeiten von werktags 7-21 Uhr, sowie Samstag 9-16 Uhr erweitert und ein verkürztes Ticket-Formular bereitgestellt (kostenpflichtige, aber höchst kompetente Unterstützung!).
Im Rahmen des Support Tickets können wir auf Wunsch gerne Ihre vorhandene Konfig-Datei auch noch etwas genauer unter die Lupe nehmen. Mit wenigen Minuten Mehraufwand (!) lokalisieren wir mögliches Optimierungspotenzial, das dann sinnvollerweise in einem geplanten Folgetermin angegangen werden kann. Aktuell liegt unser zeitliches Hauptaugenmerk auf der Mithilfe beim Schließen der Cyclops Blink Schwachstelle.
Erkennen, Beheben und Verhindern einer Cyclops Blink-Infektion:
WatchGuard, unterstützt vom FBI, der CISA, der NSA2 und dem UK NCSC, empfiehlt allen Kunden, unverzüglich den verfügbaren 4-Schritte-Diagnose-und-Behebungsplan für Cyclops Blink umzusetzen. Der Plan skizziert einfache und benutzerfreundliche Cyclops Blink-Erkennungsoptionen im WatchGuard System Manager, in der WatchGuard Cloud und über ein neues Web-Detektor-Tool.
Besuchen Sie detection.watchguard.com, um den 4-Schritte-Diagnose-und-Behebungsplan für Cyclops Blink jetzt zu überprüfen und umzusetzen.
Weitere Quellen und Informationsmaterial:
- HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion
- Cyclops Blink Frequently Asked Questions (FAQ)
- Joint Government Advisory Issued by the FBI, CISA, NSA, and the UK NCSC
- Security Best Practices Provided By FBI, CISA, NSA, and UK NCSC (Seite 9)
Aktuelle Software Releases:
Wie üblich werden die neuesten Software Releases über software.watchguard.com zur Verfügung gestellt.
Der WatchGuard System Manager 12.7.2 Update 2 harmoniert mit allen unterstützten Appliances (siehe weiter unten).
Diese aktuelle WSM Version enthält bereits das Cyclops Blink Erkennungstool.
Bitte beachten Sie auch die Release Notes der jeweiligen Versionen, die darüber hinaus noch weitere Informationen über Fixes und neue Features beinhalten:
>> Release Notes v12.7.2 Update 2
>> Release Notes v12.5.9 Update 2
>> Release Notes v12.1.3 Update 8
Wichtig:
Fireware v12.7.2 Update 2 ist verfügbar für folgende Geräte: Firebox T20, T40, T55, T70, T80, M270, M290, M370, M390, M400, M440, M470, M500, M570, M590, M670, M690, M4600, M5600, M4800, M5800 sowie für die virtuellen FireboxV und Firebox Cloud Modelle.
Fireware v12.5.9 Update 2 ist verfügbar für folgende Geräte: Firebox T10, T15, T30, T35, T50, M200, M300.
Fireware v12.1.3 Update 8 ist verfügbar für folgende Geräte: Firebox XTMv, XTM 25, 26, 33, 330, 515, 525, 535, 545, 850, 860, 870, 1520, 1525, 2520 sowie die noch etwas älteren Modelle XTM 810, 820, 830, 1050, 2050.
IMPORTANT SECURITY ALERT for all WatchGuard Firebox Owners (English) - BOC IT-Security GmbH
Fireware v12.7.2 Update 2 jetzt verfügbar (auch Updates für ältere Versionen) - BOC IT-Security GmbH
Cyclops Blink Detector - Selbstcheck mit der WatchGuard Cloud - BOC IT-Security GmbH
Cyclops Blink Detector - Selbstcheck mit dem WatchGuard WebDetector - BOC IT-Security GmbH
HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion - BOC IT-Security GmbH