Firewalle WatchGuard z dziurami w zabezpieczeniach i zero day’em!

Firewall na straży bezpieczeństwa firmy

Zapory sieciowe (z ang. firewall) lub NGFW (Next Generation Firewall) to urządzenia, które z zasady powinny chronić organizację od zewnętrznych ataków oraz monitorować ruch na brzegowym styku sieci w firmie. Ich zadaniem jest także filtrowanie ruchu między siecią wewnątrzną, a siecią WAN. Doskonale wiadomo, czym grozi złamanie ich zabezpieczeń – nieautoryzowanym przedostaniem się atakujących do środka firmy. Dlatego powinniśmy jak najlepiej troszczyć się o ich bezpieczeństwo oraz – jak pokazuje poniższy artykuł – nie do końca im ufać (oczywiście w omawianym kontekście).

Luki w bezpieczeństwie Watchguard

WatchGuard Firebox to zunifikowana platforma, która daje specjalistom IT narzędzia do widoczności sieci w celu zapewnienia bezpieczeństwa klasy korporacyjnej. Na początku tego roku zapory sieciowe WatchGuard były wielokrotnie atakowane (pisaliśmy o tym tutaj), w szczególności przez rosyjską grupę APT o nazwie Sandworm i jej złośliwe oprogramowanie, Cyclops Blink. W ciągu czterech miesięcy producent urządzeń wydał trzy aktualizacje oprogramowania systemowego, łatające wiele krytycznych luk w zabezpieczeniach.

Specjaliści od bezpieczeństwa z Ambionisc Security odkryli i opisali pięć różnych luk w zabezpieczeniach firewalli Watchguard. Pokazali, jak bez potrzeby uwierzytelnienia można przeprowadzić zdalne wykonanie kodu na urządzeniu jako root – 0day (CVE-2022-31789, CVE-2022-31790). W zależności od uprawnień związanych z aplikacjami osoba atakująca może przeglądać, zmieniać lub usuwać dane.

„Po znalezieniu 5 różnych luk w zabezpieczeniach i zbudowaniu 8 eksploitów w końcu udało nam się przeprowadzić zdalne wykonanie kodu przed uwierzytelnieniem jako użytkownik root na dowolnym urządzeniu Firebox/XTM. Ogólnie rzecz biorąc, zajęło to więcej czasu niż powinno, ale była to fajna jazda!” – napisali na swoim blogu specjaliści.

Podatności, które badacze odkryli i których przykłady eksploitacji opisali, dotyczą następujących błędów:

1. Przepełnienie stosu pamięci w urządzeniach WatchGuard Firebox i XTM – umożliwia uwierzytelnionemu zdalnemu napastnikowi potencjalne wykonanie dowolnego kodu poprzez zainicjowanie aktualizacji oprogramowania systemowego za pomocą złośliwego obrazu aktualizacji z interfejsu wiersza poleceń. (CVE-2022-25362)
2. Przepełnienie liczby całkowitej w urządzeniach WatchGuard Firebox i XTM – pozwala nieuwierzytelnionemu zdalnemu napastnikowi wywołać przepełnienie bufora i potencjalnie wykonać dowolny kod, wysyłając złośliwe żądanie do ujawnionych portów zarządzania. (CVE-2022-31789)
3. Urządzenia WatchGuard Firebox i XTM umożliwiają nieuwierzytelnionemu, zdalnemu napastnikowi uzyskanie poufnych ustawień serwera uwierzytelniania, wysyłając złośliwe żądanie do odsłoniętych punktów końcowych uwierzytelniania. (CVE-2022-31790)

Szczegóły dotyczące luk o niższym stopniu ważności są następujące:

• Urządzenia WatchGuard Firebox i XTM umożliwiają uwierzytelnionemu zdalnemu napastnikowi z nieuprzywilejowanymi danymi uwierzytelniającymi przesyłanie lub odczytywanie plików z ograniczonych dowolnych lokalizacji. (CVE-2022-31749)
• Luka w zabezpieczeniach lokalnej eskalacji uprawnień w urządzeniach Firebox i XTM może umożliwić osobie atakującej wykonanie poleceń z uprawnieniami użytkownika root.
• W interfejsie zarządzania urządzeń WatchGuard Firebox i XTM istnieje luka w zabezpieczeniach przechowywanych skryptów krzyżowych (XSS). Nieuwierzytelniony zdalny atakujący może potencjalnie wykonać dowolny kod JavaScript w interfejsie zarządzania Firebox, wysyłając starannie spreparowane żądania do ujawnionych portów zarządzania. (CVE-2022-31792)
• Urządzenia WatchGuard Firebox i XTM umożliwiają uwierzytelnionemu zdalnemu napastnikowi odczytywanie dowolnych plików tekstowych z systemu plików.

Jak sobie radzić z problemem?

Pamiętajmy, że firewall w firmie nie może stanowić jedynej skutecznej broni przeciwko zewnętrznym cyberzagrożeniom i nie powinniśmy zbytnio mu ufać. Istnieje bardzo dużo innych rozwiązań monitorujących bezpieczeństwo „od środka”. Ich należyte wykorzystanie powinno dać działom bezpieczeństwa wczesne ostrzeżenia, a wręcz umożliwić blokadę takich ataków od wewnątrz firmy – piszemy o tym cały czas na Kapitanie, chociażby tutaj. W przypadku wykrycia podatności i luk w Watchguard zalecamy podjęcie następujących działań:

• użycie właściwej aktualizacji WatchGuard do podatnych systemów natychmiast po przeprowadzeniu odpowiednich testów,
• zastosowanie zasady najmniejszych uprawnień (ang. least privilege model) do wszystkich systemów i usług; w celu złagodzenia skutków udanego ataku wdrożenie w firmie oprogramowania na użytkowniku bez wysokich uprawnień (bez uprawnień administratora),
• wprowadzenie zaawansowanego monitorowania kont uprzywilejowanych w firmie,
• wdrożenie systemu z funkcjami zapobiegającymi występowaniu podejrzanych wzorców zachowań w systemach końcowych. Może to obejmować podejrzane zachowanie procesu, pliku, wywołania interfejsu API itp.