Tag Archives: Cyclop Blink

HOWTO: 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion

24. Februar 2022 Manuel Seidel 3 Comments

WatchGuard hat eine Reihe von Tools zur Erkennung von Cyclops Blink sowie diesen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink entwickelt und veröffentlicht, um Kunden bei der Diagnose zu unterstützen, bei Bedarf Abhilfe zu schaffen und zukünftige Infektionen zu verhindern. Einen Überblick und die wichtigsten Informationen finden Sie unter >> WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber.

Der Plan umfasst diese 4 Schritte:

Diagnose
Behebung
Prävention
Untersuchung

Cyclops Blink Detector – Selbstcheck mit der WatchGuard Cloud

24. Februar 2022 Werner Maier 1 Comment

Um zu prüfen, ob Ihre WatchGuard Firebox von “Cyclops Blink” betroffen ist, gehen Sie wie folgt vor:

Loggen Sie sich unter https://cloud.watchguard.com ein:
Dort finden Sie unter Configure => Devices => Device Summary eine eigene Kachel mit dem Cyclops Blink Detector.
Klicken Sie auf “Scan Fireboxes in your account”.

Cyclops Blink Detector – Selbstcheck mit dem WatchGuard WebDetector

23. Februar 2022 Werner Maier 3 Comments

Um zu prüfen, ob Ihre WatchGuard Firebox von “Cyclops Blink” betroffen ist, gehen Sie wie folgt vor:

Erzeugen Sie ein support.tgz mithilfe des Firebox System Manager unter Status Report => (unten rechts =>) Support => Retrieve Support TGZ
Alternativ: Web-UI: unter System-Status > Diagnostics auf “Download a Support Log File” klicken

Cyclops Blink Detector – Selbstcheck mit dem WatchGuard System Manager

23. Februar 2022 Werner Maier 5 Comments

Update 2022-03-24, 09:33 Uhr:

- - Bitte Testen Sie mit dem WSM Blink detektor (s.u.) _VOR_ dem Upgrade der Fireware auf die 12.7.2 U2.
    der Test kann nach dem Update nicht mehr ausgeführt werden und führt zu einer “inconclusive”-Meldung
    (screenshots siehe unten). Sollten Sie die Firebox bereits auf die 12.7.2 Update 2 aktualisiert haben, verwenden Sie bitte
    den Test mittels Webdetektor.
    Details zur Fehlermeldung finden Sie in diesem knowledgbase-Artikel.
    Vielen Dank an Hr. Lange für die Information im Kommetar.

Um zu prüfen, ob Ihre WatchGuard Firebox von “Cyclops Blink” betroffen ist, gehen Sie wie folgt vor: Weiterlesen »

WICHTIGER SICHERHEITSHINWEIS für alle WatchGuard Firebox Betreiber

23. Februar 2022 Manuel Seidel 5 Comments

Überblick

Worum geht es?

WatchGuard hat am 23.02.2022 um 16:00 Uhr publik gemacht, dass es Angreifern möglich bzw. möglich gewesen ist, sich unberechtigt auf eine WatchGuard Firebox aufzuschalten und dort eine Fremdsoftware zu installieren.
Dieser Angriff ist bereits unter dem Namen Cyclops Blink Infection bekannt. Hinter dem Angriff steht eine vermutlich von Russland geförderte Gruppe von Cyberkriminellen.
Die eng mit offiziellen Stellen wie dem amerikanischen FBI, der CISA, dem DOJ und dem britischen NCSC1 durchgeführten forensischen Untersuchungen konnten nicht aufzeigen, dass die eventuell installierte Fremdsoftware in die zu schützenden Kunden-Netzwerke eingedrungen ist oder dass Daten mitgelesen oder ausgeleitet worden sind.
Auch das eigene Netzwerk und die Kundendaten von WatchGuard wurden nicht verletzt oder beeinträchtigt.
Die infiltrierten Systeme sollten vielmehr in der Zukunft als Teil eines globalen Botnet missbraucht werden.

Welche Systeme können betroffen sein?

Basierend auf aktuellen Schätzungen könnte Cyclops Blink etwa 1% der aktiven WatchGuard-Firewall-Appliances unabhängig von Modell und Versionsstand beeinträchtigt haben; andere WatchGuard-Produkte sind nicht betroffen.
Die Schwachstelle konnte nur dann von den Angreifern ausgenutzt werden, wenn die für Admin-Zwecke verwendeten Ports 8080/tcp, 4118/tcp, 4105/tcp und 4117/tcp direkt aus dem Internet (=”Any-External”) erreichbar waren.
Dies entspricht aber nicht dem Best Practice und den von WatchGuard publizierten Installationshinweisen. Im Auslieferungszustand ab Werk (“Setup Wizard”) sind diese Admin-Ports nur von lokalen Netzwerken (“Any-Trusted” oder “Any-Optional”) nutzbar.
Wenn diese Ports aus dem Internet nicht geöffnet waren, ist die WatchGuard Firebox Appliance auch nicht in Gefahr gewesen!
Beachten Sie in diesem Zusammenhang bitte auch unseren Blogartikel HOWTO: Best Practices für Firebox Remote Management

Was ist zu tun?

WatchGuard hat einen 4-Schritte-Diagnose-und-Behebungsplan gegen Cyclops Blink Infektion veröffentlicht.
WatchGuard bittet dringend darum, dass die Diagnose auf ALLEN im Markt befindlichen Firebox-Systemen durchgeführt wird.
Abhilfemaßnahmen sind nur erforderlich, wenn Sie eine infizierte Appliance haben.
Trotzdem sollten alle Kunden, ob infiziert oder nicht, ihre Appliance(s) auf die neueste Version von Fireware OS aktualisieren.
Bitte führen Sie aber UNBEDINGT die DIAGNOSE durch, BEVOR Sie auf die neueste Fireware-Version aktualisieren.
Alleine durch das Aufspielen der neuen Softwareversion wird eine mögliche Infektion nicht behoben!
Obwohl normalerweise Software-Updates nur dann möglich sind, wenn die WatchGuard Firebox über eine gültige Lizenz verfügt, ermöglicht es WatchGuard in diesem besonderen Fall, dass auch Appliances mit abgelaufener Lizenz einmalig auf die neueste Fireware-Version (siehe weiter unten) aktualisiert werden können. Das gilt auch für ältere Modelle zurück bis XTM 25, 26, 33, 330, 515, 525, 535, 545, die mittlerweile bereits END-OF-LIFE sind. Für noch ältere Modelle wie XTM 21, 22, 23, 505, 510, 520, 530 (die schon seit 2017 END-OF-LIFE sind!) wird jedoch kein Bugfix zur Verfügung gestellt.

HOWTO: 4-Step Cyclops Blink Diagnosis and Remediation Plan

23. Februar 2022 Manuel Seidel Comment

Zum deutschen Artikel geht es >> hier.

Working closely with the FBI, CISA, DOJ, and UK National Cyber Security Centre (NCSC), WatchGuard has investigated and developed a remediation for Cyclops Blink, a sophisticated state-sponsored botnet that may have affected a limited number of WatchGuard firewall appliances.

WatchGuard has developed and released a set of Cyclops Blink detection tools, as well as this 4-Step Cyclops Blink Diagnosis and Remediation Plan to help customers diagnose, remediate if necessary, and prevent future infection.

The plan includes these four steps:

Diagnosis
Remediate
Prevent
Investigate

IMPORTANT SECURITY ALERT for all WatchGuard Firebox Owners (English)

23. Februar 2022 Manuel Seidel Comment

Zur deutschen Übersetzung geht es >>hier

Über unser Ticketsystem >> Support-Ticket Cyclops Blink Botnet können Sie eine Support-Anfrage erstellen.

Working closely with the FBI, CISA, DOJ, and UK NCSC¹, WatchGuard has investigated and developed a remediation for Cyclops Blink, a sophisticated state-sponsored botnet, that may have affected a limited number (estimated at ~1%) of WatchGuard firewall appliances. WatchGuard customers and partners can eliminate the potential threat posed by malicious activity from the botnet by immediately enacting WatchGuard’s 4-Step Cyclops Blink Diagnosis and Remediation Plan. It is critical for all customers, whether infected or not, to upgrade the appliance to the latest version of Fireware OS.

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Firewall / VPN

WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Follow-Up Q&A-Session:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Überblick

Worum geht es?

Welche Systeme können betroffen sein?

Was ist zu tun?