Araştırmacı, bir-iki hata yumruğunun ‘mümkün olan en kötü etkiye’ yol açtığını söyledi
WatchGuard, orta ve kritik önem derecesi arasında derecelendirilen iki ana güvenlik duvarı markasındaki birkaç güvenlik açığını yamaladı.
Bir arada, kusurlardan ikisi, Ambionics güvenlik mühendisi Charles Fol’ün her WatchGuard Firebox veya XTM cihazında ön kimlik doğrulama uzak kök elde etmesine izin verdi.
Hem Firebox hem de XTM serileri, bu yılın başlarında, Rus devlet destekli tehdit aktörü Sandworm’un Cyclops Blink adlı bir botnet oluşturmak için Nisan ayında kaldırılan bir ayrıcalık yükseltme kusurunu kötüye kullanmasıyla birlikte bir dizi hack saldırısına karıştı. Dört aylık bir süre boyunca WatchGuard, bir dizi kritik güvenlik açığını kapatan üç ürün yazılımı güncellemesi yayınladı.
KAÇIRMAYIN API güvenliği: Bozuk erişim kontrolleri, enjeksiyon saldırıları kurumsal güvenlik ortamını rahatsız ediyor
Ve tesadüfen, dedi Fol, kırmızı bir ekip katılımı için güvenlik duvarlarında istismar edilebilir hatalar aramaya başladığı zamandı. Bu hafta başlarında yayınlanan bir yazıda belgelenen araştırması sırasında ikisi yamalı olan WatchGuard ürünlerinde beş tane buldu.
Kalan üç kusur, ana kimlik bilgileri de dahil olmak üzere bir cihazın yapılandırmasını almasına izin veren kör Xpath enjeksiyonuydu; bir saldırganın uzak cihazlarda kötü amaçlı kod yürütmesine izin veren tamsayı taşması; ve ayrıcalıkları düşük ayrıcalıklı bir kullanıcıdan root’a yükseltmenin mümkün olduğu anlamına gelen üçüncü bir güvenlik açığı.
Kök olarak tam erişim
Fol, “İkisini birleştirerek, uzak, kimliği doğrulanmamış bir saldırgan, güvenlik duvarı sistemine süper kullanıcı veya kök olarak tam erişim sağlayabilir” dedi. Günlük Swig.
“Bu olabilecek en kötü etki. Artık yapılandırmayı okuyabilir veya değiştirebilir, trafiği durdurabilir, vb.
“İlki, bazı durumlarda, bir saldırganın kimlik doğrulama sunucularının ana kimlik bilgilerini almasına ve muhtemelen bunu güvenlik duvarında yönetici olarak bağlanmak için kullanmasına izin verir.”
En son siber güvenlik açığı haberlerini okuyun
Fol, araştırması sırasında Cyclops Blink ile ilgili olanlar da dahil olmak üzere birçok güvenlik uyarısı sayesinde artık daha az WatchGuard kullanıcısının yönetim arayüzünün internette açığa çıktığına inanıyor.
Ancak, “ilk güvenlik açığı – Xpath – standart, istemci arabirimi aracılığıyla erişilebilir ve bu nedenle açığa çıkma olasılığı çok daha yüksek; hızlı bir shodan araması yaklaşık 350.000 örnek ortaya çıkardı.”
Kullanıcılara yönetim arayüzlerini internetten kaldırmalarını ve sistemlerini güncel tutmalarını tavsiye ediyor.
Fol, güvenlik açıklarını Mart ayı sonunda bildirdiğini ve hızlı bir yanıt aldığını söyledi. Bir ay sonra, WatchGuard’ın güvenlik ekibi 21 Haziran’da bir yamanın mevcut olacağını doğruladı.
Genel olarak, açıklamanın “harika, saygılı bir süreç” olduğunu söyledi.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Log4Shell mirası? En kritik güvenlik açıkları için yama süreleri düşüyor – rapor