El proveedor de seguridad WatchGuard arregló silenciosamente una vulnerabilidad crítica en una línea de sus dispositivos de firewall y no reveló explícitamente la falla hasta el miércoles, luego de las revelaciones de que los piratas informáticos del aparato militar de Rusia la explotaron en masa para ensamblar una red de bots masiva.
El 23 de febrero, los organismos encargados de hacer cumplir la ley en los EE. UU. y el Reino Unido advirtieron que los miembros de Sandworm, uno de los grupos de piratas informáticos de élite y más agresivos del gobierno ruso, estaban infectando los firewalls de WatchGuard con malware que los convertía en parte de una gran red de bots. El mismo día, WatchGuard lanzó un herramienta de software
Poner a los clientes en un riesgo innecesario
En documentos judiciales revelados el miércoles, un agente del FBI escribió que los cortafuegos de WatchGuard pirateados por Sandworm eran “vulnerables a un exploit que permite el acceso remoto no autorizado a los paneles de administración de esos dispositivos”. No fue hasta que el documento judicial se hizo público que WatchGuard publicó estas preguntas frecuentesque por primera vez hacía referencia a CVE-2022-23176, una vulnerabilidad con una calificación de gravedad de 8,8 sobre 10 posibles.
“Los dispositivos WatchGuard Firebox y XTM permiten que un atacante remoto con credenciales sin privilegios acceda al sistema con una sesión de administración privilegiada a través del acceso de administración expuesto”, decía la descripción. “Esta vulnerabilidad afecta al sistema operativo Fireware antes de 12.7.2_U1, 12.x antes de 12.1.3_U3 y 12.2.x a 12.5.x antes de 12.5.7_U3”.
Las preguntas frecuentes de WatchGuard decían que CVE-2022-23176 había sido “totalmente abordado por las correcciones de seguridad que comenzaron a implementarse en las actualizaciones de software en mayo de 2021”. Las preguntas frecuentes continuaron diciendo que las investigaciones de WatchGuard y la firma de seguridad externa Mandiant “no encontraron evidencia de que el actor de amenazas explotara una vulnerabilidad diferente”.
Cuando WatchGuard lanzó las actualizaciones de software de mayo de 2021, la empresa solo hizo referencias indirectas a la vulnerabilidad.
“Estas versiones también incluyen correcciones para resolver problemas de seguridad detectados internamente”, un puesto de la empresa fijado. “Estos problemas fueron encontrados por nuestros ingenieros y no se encontraron activamente en la naturaleza. En aras de no guiar a los posibles actores de amenazas hacia la búsqueda y explotación de estos problemas descubiertos internamente, no compartimos detalles técnicos sobre estas fallas que contenían”.
Según las preguntas frecuentes del miércoles, los agentes del FBI informaron a WatchGuard en noviembre que alrededor del 1 por ciento de los firewalls que había vendido habían sido infectados por Cyclops Blink, una nueva variedad de malware desarrollada por Sandworm para reemplazar una red de bots que el FBI desmanteló en 2018. Tres meses después de enterarse de las infecciones del FBI, WatchGuard publicó la herramienta de detección y el Plan de remediación y diagnóstico de 4 pasos adjunto para dispositivos infectados. La empresa obtuvo la designación CVE-2022-23176 un día después, el 24 de febrero.
Sin embargo, incluso después de todos estos pasos, incluida la obtención del CVE, la empresa aún no reveló explícitamente la vulnerabilidad crítica que se había solucionado en las actualizaciones de software de mayo de 2021. Los profesionales de la seguridad, muchos de los cuales han pasado semanas trabajando para eliminar los dispositivos vulnerables de Internet, criticaron a WatchGuard por no revelarlos explícitamente.
“Resulta que los actores de amenazas *SÍ* encontraron y explotaron los problemas”, dijo Will Dormann, analista de vulnerabilidades del CERT, en un mensaje privado. Se refería a la explicación de WatchGuard de mayo de que la compañía estaba ocultando detalles técnicos para evitar que se explotaran los problemas de seguridad. “Y sin un CVE emitido, más de sus clientes estaban expuestos de lo necesario”.
Él continuó:
WatchGuard debería haber asignado un CVE cuando lanzó una actualización que corrigió la vulnerabilidad. También tuvieron una segunda oportunidad de asignar un CVE cuando fueron contactados por el FBI en noviembre. Pero esperaron casi 3 meses completos después de la notificación del FBI (alrededor de 8 meses en total) antes de asignar un CVE. Este comportamiento es dañino y pone a sus clientes en un riesgo innecesario.
Los representantes de WatchGuard no respondieron a las repetidas solicitudes de aclaración o comentarios.