image

WatchGuard onder vuur omdat het kritiek lek maandenlang niet expliciet vermeldde

dinsdag 12 april 2022, 09:50 door Redactie, 3 reacties

Securitybedrijf WatchGuard is onder vuur komen te liggen omdat het een kritieke kwetsbaarheid in de eigen firewalls, waar uiteindelijk misbruik van werd gemaakt, zeven maandenlang niet expliciet vermeldde. De Amerikaanse overheid heeft federale instanties opgeroepen om het beveiligingslek voor 2 mei te patchen.

Vorig jaar mei kwam WatchGuard met firmware-updates die "intern gevonden beveiligingsproblemen" verhielpen. Er werd niet vermeld om wat voor problemen het ging en ook gaf WatchGuard geen CVE-nummers, waarmee kwetsbaarheden worden geïdentificeerd. In februari van dit jaar waarschuwden de Amerikaanse en Britse autoriteiten dat een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn, WatchGuard-firewalls met de Cyclops Blink-malware had geïnfecteerd.

Hoe de aanvallers toegang tot de firewalls wisten te krijgen was onbekend. Nu blijkt volgens WatchGuard dat ze een kritiek beveiligingslek gebruikten dat het vorig jaar mei had verholpen. De kwetsbaarheid maakt het mogelijk voor aanvallers, bij firewalls waarvan de beheerdersinterface vanaf internet toegankelijk is, via "unprivileged credentials" in te loggen en vervolgens met hogere rechten te worden ingelogd.

WatchGuard stelde dat erop het moment dat de firmware-updates uitkwamen geen misbruik van het lek werd gemaakt en het bewust geen details over het beveiligingslek deelde om aanvallers niet wijzer te maken. Nu blijkt dat het deze kwetsbaarheid was die Sandworm-groep gebruikte. De impact van het beveiligingslek, aangeduid als CVE-2022-23176, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Pas in januari verkreeg WatchGuard een CVE-nummer voor het lek. Dit CVE-nummer werd pas vorige week in de FAQ over de Cyclops Blink-malware vermeld.

Beveiligingsexperts hekelen het gedrag van WatchGuard en stellen dat het bedrijf hiermee voor een onnodig beveiligingsrisico heeft gezorgd. "Wanneer er een update wordt uitgebracht kunnen mensen de code van voor en na de patch vergelijken om te zien wat er is veranderd, en zo de kwetsbaarheid zien. Wanneer CVE/CVSS niet worden vermeld, hebben aanvallers alles wat ze nodig hebben en verdedigers niet", zegt Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Image

Reacties (3)
12-04-2022, 10:03 door Anoniem
Closed source he. Wij mogen het niet weten tenzij het wordt ontdekt. Dan is het meestal langdurig misbruikt, een van de consequenties van gesloten software. Daarom zijn die patch tuesdays ook maar het topje van de ijsberg en bijna altijd vermeld het problemen door anderen gevonden. Dit soort security through obscurity bedrijven houden niet van de vuile was buiten hangen.
12-04-2022, 14:15 door Anoniem
De horror!
19-04-2022, 00:03 door Anoniem
Voila - voor zoiets krijgt watchguard een zware entry in mijn zwarte lijst. Die komen er niet meer in...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.