W urządzeniach WatchGuard Firebox i XTM wykryto wiele luk, z których najpoważniejsze mogą pozwolić na zdalne wykonanie kodu.
Firewall na straży bezpieczeństwa firmy
Zapory sieciowe (z ang. firewall) lub NGFW (Next Generation Firewall) to urządzenia, które z zasady powinny chronić organizację od zewnętrznych ataków oraz monitorować ruch na brzegowym styku sieci w firmie. Ich zadaniem jest także filtrowanie ruchu między siecią wewnątrzną, a siecią WAN. Doskonale wiadomo, czym grozi złamanie ich zabezpieczeń – nieautoryzowanym przedostaniem się atakujących do środka firmy. Dlatego powinniśmy jak najlepiej troszczyć się o ich bezpieczeństwo oraz – jak pokazuje poniższy artykuł – nie do końca im ufać (oczywiście w omawianym kontekście).
Firewall na straży bezpieczeństwa firmy
WatchGuard Firebox to zunifikowana platforma, która daje specjalistom IT narzędzia do widoczności sieci w celu zapewnienia bezpieczeństwa klasy korporacyjnej. Na początku tego roku zapory sieciowe WatchGuard były wielokrotnie atakowane (pisaliśmy o tym tutaj), w szczególności przez rosyjską grupę APT o nazwie Sandworm i jej złośliwe oprogramowanie, Cyclops Blink. W ciągu czterech miesięcy producent urządzeń wydał trzy aktualizacje systemu systemowego, łatające wiele krytycznych luk w zabezpieczeniach.
Specjaliści od bezpieczeństwa z Ambionisc Security odkryli i opisali pięć różnych luk w zabezpieczeniach firewalli Watchguard. Pokazali, jak bez potrzeby uwierzytelnienia można przeprowadzić zdalne wykonanie kodu na urządzeniu jako root – 0day (CVE-2022-31789, CVE-2022-31790).
W zależności od uprawnień związanych z aplikacjami osoba atakująca może przeglądać, zmieniać lub usuwać dane.
„Po znalezieniu 5 różnych luk w zabezpieczeniach i zbudowaniu 8 eksploitów w końcu udało nam się przeprowadzić zdalne wykonanie kodu przed uwierzytelnieniem jako użytkownik root na dowolnym urządzeniu Firebox/XTM. Ogólnie rzecz biorąc, zajęło to więcej czasu niż powinno, ale była to fajna jazda!” – napisali na swoim blogu specjaliści.
Podatności, które badacze odkryli i których przykłady eksploitacji opisali, dotyczą następujących błędów:
- Przepełnienie stosu pamięci w urządzeniach WatchGuard Firebox i XTM – umożliwia uwierzytelnionemu zdalnemu napastnikowi potencjalne wykonanie dowolnego kodu poprzez zainicjowanie aktualizacji systemu systemowego dzięki złośliwego obrazu aktualizacji z interfejsu wiersza poleceń. (CVE-2022-25362)
- Przepełnienie liczby całkowitej w urządzeniach WatchGuard Firebox i XTM – pozwala nieuwierzytelnionemu zdalnemu napastnikowi wywołać przepełnienie bufora i potencjalnie wykonać dowolny kod, wysyłając złośliwe żądanie do ujawnionych portów zarządzania. (CVE-2022-31789)
- Urządzenia WatchGuard Firebox i XTM umożliwiają nieuwierzytelnionemu, zdalnemu napastnikowi uzyskanie poufnych ustawień serwera uwierzytelniania, wysyłając złośliwe żądanie do odsłoniętych punktów końcowych uwierzytelniania. (CVE-2022-31790)
Szczegóły dotyczące luk o niższym stopniu ważności są następujące:
- Urządzenia WatchGuard Firebox i XTM umożliwiają uwierzytelnionemu zdalnemu napastnikowi z nieuprzywilejowanymi danymi uwierzytelniającymi przesyłanie lub odczytywanie plików z ograniczonych dowolnych lokalizacji. (CVE-2022-31749)
- Luka w zabezpieczeniach lokalnej eskalacji uprawnień w urządzeniach Firebox i XTM może umożliwić osobie atakującej wykonanie poleceń z uprawnieniami użytkownika root.
- W interfejsie zarządzania urządzeń WatchGuard Firebox i XTM istnieje luka w zabezpieczeniach przechowywanych skryptów krzyżowych (XSS). Nieuwierzytelniony zdalny atakujący może potencjalnie wykonać dowolny kod JavaScript w interfejsie zarządzania Firebox, wysyłając starannie spreparowane żądania do ujawnionych portów zarządzania. (CVE-2022-31792)
- Urządzenia WatchGuard Firebox i XTM umożliwiają uwierzytelnionemu zdalnemu napastnikowi odczytywanie dowolnych plików tekstowych z systemu plików.
Jak sobie radzić z problemem?
Pamiętajmy, iż firewall w firmie nie może stanowić jedynej skutecznej broni przeciwko zewnętrznym cyberzagrożeniom i nie powinniśmy zbytnio mu ufać. Istnieje bardzo dużo innych rozwiązań monitorujących bezpieczeństwo „od środka”. Ich należyte wykorzystanie powinno dać działom bezpieczeństwa wczesne ostrzeżenia, a wręcz umożliwić blokadę takich ataków od wewnątrz firmy – piszemy o tym cały czas na Kapitanie, chociażby tutaj. W przypadku wykrycia podatności i luk w Watchguard zalecamy podjęcie następujących działań:
- użycie adekwatnej aktualizacji WatchGuard do podatnych systemów natychmiast po przeprowadzeniu odpowiednich testów,
- zastosowanie zasady najmniejszych uprawnień (ang. least privilege model) do wszystkich systemów i usług; w celu złagodzenia skutków udanego ataku wdrożenie w firmie systemu na użytkowniku bez wysokich uprawnień (bez uprawnień administratora),
- wprowadzenie zaawansowanego monitorowania kont uprzywilejowanych w firmie,
- wdrożenie systemu z funkcjami zapobiegającymi występowaniu podejrzanych wzorców zachowań w systemach końcowych. Może to obejmować podejrzane zachowanie procesu, pliku, wywołania interfejsu API itp.
