近日，美國網絡安全和基礎設施安全局(CISA)已下令聯邦民事機構，并敦促所有美國組織修補一個被積極利用且被評為“嚴重威脅級別”的漏洞，該漏洞影響了世界領先的高效率和全系列網絡安全方案供應商WatchGuard的Firebox和XTM防火墻設備。

黑客組織Sandworm是俄羅斯軍事情報總局(GRU)的一部分，該組織利用高嚴重性權限提升漏洞(CVE-2022-23176)，在被入侵的WatchGuard小型辦公室/家庭辦公室(SOHO)網絡設備上建立了一個名為Cyclops Blink的新僵尸網絡。

WatchGuard Firebox和XTM設備允許擁有非特權憑證的遠程攻擊者通過公開的管理訪問權限訪問具有會話管理特權的系統。默認情況下，所有WatchGuard設備都限制訪問，只有將其設置成允許從Internet進行無限制的管理訪問，遠程攻擊者才能利用該漏洞。

根據美國于11月發布的約束性操作指令(BOD 22-01)，相關機構必須保護其系統免受安全漏洞的侵害。美國網絡安全和基礎設施安全局(CISA)給出三周時間(5月2日前)來修補新添加到已知被利用漏洞目錄中的CVE-2022-23176漏洞。盡管該指令僅適用于聯邦機構，但美國網絡安全和基礎設施安全局(CISA)也強烈敦促所有組織優先修復這個被濫用的安全漏洞，以避免其WatchGuard設備受到損害。

1%的WatchGuard防火墻設備被惡意軟件攻擊

Cyclops Blink是Sandworm黑客組織用來創建僵尸網絡的惡意軟件，至少從2019年6月開始，它就被用來攻擊帶有CVE-2022-23176漏洞的WatchGuard Firebox防火墻設備以及多個華碩路由器。

該惡意軟件通過固件更新在設備上建立持久性，并為其運營商提供對受損網絡的遠程訪問。此外，還使用受感染設備的合法固件更新渠道，通過注入惡意代碼和部署重新打包的固件映像來維持對設備的訪問。該惡意軟件也是模塊化的，可以輕松地升級和瞄準設備及安全漏洞，利用新的硬件池。

在美國和英國的網絡安全和執法機構將該惡意軟件與俄羅斯軍事情報總局(GRU)的黑客聯系起來后，WatchGuard發布公告稱Cyclops Blink可能已經攻擊了約1%的WatchGuard防火墻設備。

英國國家網絡安全中心(NCSC)、美國聯邦調查局(FBI)、網絡安全和基礎設施安全局(CISA)和美國國家安全局(NSA)的聯合顧問表示，組織應假定受感染設備上的所有帳戶都已被盜用，管理員還應立即刪除對管理界面的訪問記錄。

僵尸網絡被破壞，惡意軟件從C2服務器中移除

美國聯邦調查局(FBI)從Watchguard設備中刪除了被認定為用于命令和控制服務器的惡意軟件，并在清除Cyclops Blink之前通知了美國和國外受感染設備的所有者。聯邦調查局局長克里斯托弗?雷警告稱：“雖然我們在向前邁走，但任何充當機器人的Firebox設備未來仍然容易被攻擊，所以設備所有者還是應該盡快采取Watchguard的檢測和補救措施。”

WatchGuard已分享了將受感染的Firebox設備恢復到干凈狀態并將其更新到最新Fireware操作系統版本的說明，以防止未來被感染。