WatchGuard n’a pas divulgué explicitement une faille critique exploitée par des pirates russes

WatchGuard n’a pas divulgué explicitement une faille critique exploitée par des pirates russes

7 avril 2022 0 Par Le Caiman
Les lettres WTF dans une bulle géante.

Le fournisseur de sécurité WatchGuard a discrètement corrigé une vulnérabilité critique dans une ligne de ses dispositifs de pare-feu et n’a divulgué explicitement la faille que mercredi, à la suite de révélations que des pirates de l’appareil militaire russe l’ont exploitée en masse pour assembler un énorme botnet.

Le 23 février, les forces de l’ordre aux États-Unis et au Royaume-Uni ont averti que des membres de Sandworm – parmi les groupes de pirates informatiques les plus agressifs et les plus élitistes du gouvernement russe – infectaient les pare-feu WatchGuard avec des logiciels malveillants qui intégraient les pare-feu à un vaste botnet. Le même jour, WatchGuard a publié un outil logiciel et instructions pour identifier et verrouiller les appareils infectés. Parmi les instructions, il fallait s’assurer que les appareils exécutaient la dernière version du système d’exploitation Fireware de l’entreprise.

Faire courir des risques inutiles aux clients

Dans des documents judiciaires non scellés mercredi, un agent du FBI a écrit que les pare-feu WatchGuard piratés par Sandworm étaient « vulnérables à un exploit qui permet un accès à distance non autorisé aux panneaux de gestion de ces appareils ». Ce n’est qu’après que le document judiciaire a été rendu public que WatchGuard a publié cette FAQqui faisait pour la première fois référence à CVE-2022-23176, une vulnérabilité avec un indice de gravité de 8,8 sur 10 possibles.

« Les appliances WatchGuard Firebox et XTM permettent à un attaquant distant avec des informations d’identification non privilégiées d’accéder au système avec une session de gestion privilégiée via un accès de gestion exposé », lit-on dans la description. « Cette vulnérabilité affecte le système d’exploitation Fireware avant 12.7.2_U1, 12.x avant 12.1.3_U3 et 12.2.x à 12.5.x avant 12.5.7_U3. »

La FAQ WatchGuard a déclaré que CVE-2022-23176 avait été « entièrement résolu par des correctifs de sécurité qui ont commencé à être déployés dans les mises à jour logicielles en mai 2021 ». La FAQ a poursuivi en indiquant que les enquêtes menées par WatchGuard et la société de sécurité extérieure Mandiant « n’ont trouvé aucune preuve que l’acteur de la menace a exploité une vulnérabilité différente ».

Lorsque WatchGuard a publié les mises à jour logicielles de mai 2021, la société n’a fait que les références les plus obliques à la vulnérabilité.

« Ces versions incluent également des correctifs pour résoudre les problèmes de sécurité détectés en interne », a déclaré un poste d’entreprise déclaré. « Ces problèmes ont été découverts par nos ingénieurs et n’ont pas été trouvés activement dans la nature. Afin de ne pas guider les acteurs potentiels de la menace vers la recherche et l’exploitation de ces problèmes découverts en interne, nous ne partageons pas les détails techniques sur ces failles qu’ils contenaient. »

Selon la FAQ de mercredi, des agents du FBI ont informé WatchGuard en novembre qu’environ 1 % des pare-feu qu’il avait vendus avaient été infectés par Cyclops Blink, une nouvelle souche de malware développée par Sandworm pour remplacer un botnet du FBI démantelé en 2018. Trois mois après avoir appris l’existence de les infections du FBI, WatchGuard a publié l’outil de détection et le plan de diagnostic et de correction en 4 étapes pour les appareils infectés. La société a obtenu la désignation CVE-2022-23176 un jour plus tard, le 24 février.

Même après toutes ces étapes, y compris l’obtention du CVE, cependant, la société n’a toujours pas divulgué explicitement la vulnérabilité critique qui avait été corrigée dans les mises à jour logicielles de mai 2021. Les professionnels de la sécurité, dont beaucoup ont passé des semaines à travailler pour débarrasser Internet des appareils vulnérables, ont fustigé WatchGuard pour ne pas avoir divulgué explicitement.

« Il s’avère que les acteurs de la menace * DID * trouvent et exploitent les problèmes », a déclaré Will Dormann, analyste des vulnérabilités au CERT, dans un message privé. Il faisait référence à l’explication de WatchGuard de mai selon laquelle la société retenait les détails techniques pour empêcher l’exploitation des problèmes de sécurité. « Et sans l’émission d’un CVE, plus de leurs clients ont été exposés que nécessaire. »

Il a continué:

WatchGuard aurait dû attribuer un CVE lors de la publication d’une mise à jour qui corrigeait la vulnérabilité. Ils ont également eu une deuxième chance d’attribuer un CVE lorsqu’ils ont été contactés par le FBI en novembre. Mais ils ont attendu près de 3 mois complets après la notification du FBI (environ 8 mois au total) avant d’attribuer un CVE. Ce comportement est préjudiciable et expose leurs clients à des risques inutiles.

Les représentants de WatchGuard n’ont pas répondu aux demandes répétées d’éclaircissements ou de commentaires.