WatchGuard防火墙漏洞威胁黑客接管设备

WatchGuard已经修复了两个主要防火墙品牌中的几个漏洞,这些漏洞的严重程度介于中等和严重之间。结合起来,其中两个缺陷使Ambionics安全工程师Charles Fol能够在每个WatchGuard Firebox或XTM设备上获得预身份验证远程根。今年早些时候,Firebox和XTM系列都被卷入了多次黑客攻击,俄罗斯国家支持的威胁演员Sandworm滥用特权升级漏洞来构建一个名为Cyclops Blink的僵尸网络,该僵尸网络已于4月被删除。在四个月的时间里,WatchGuard发布了三个固件更新,修补了许多关键漏洞。

而且,巧合的是,Fol说,这是他开始在防火墙中寻找可利用的漏洞以进行红队参与的时候。他在WatchGuard产品中发现了五个,其中两个在他的研究过程中被修补,这在本周早些时候发表的一篇文章中有记录。

剩下的三个缺陷是盲Xpath注入,允许他检索设备的配置,包括主凭据;整数溢出,允许攻击者在远程设备上执行恶意代码;第三个漏洞意味着可以将权限从低权限用户升级到root。

“通过结合后者,远程、未经身份验证的攻击者可以作为超级用户或root完全访问防火墙系统,”Fol说。

“这是最坏的影响。他或她现在可以读取或更改配置、拦截流量等。

“在某些情况下,第一个允许攻击者获取身份验证服务器的主凭据,并可能使用它以管理员身份连接防火墙。”

Fol认为,由于在他的研究期间产生了许多安全警报,包括与Cyclops Blink相关的警报,因此现在更少的WatchGuard用户将他们的管理界面暴露在互联网上。

然而,他说,“第一个漏洞——Xpath——可以通过标准的客户端接口访问,因此更容易被暴露;快速的shodan搜索发现了大约350000个实例。”

他建议用户从互联网上删除他们的管理界面,并确保他们的系统保持最新。

Fol说他在3月底报告了这些漏洞,并得到了快速响应。一个月后,WatchGuard的安全团队确认将在6月21日发布补丁。

他说,总体而言,披露是一个“伟大的、令人尊重的过程”。

发表评论

评论已关闭。

相关文章