Le fournisseur de sécurité WatchGuard a discrètement corrigé une vulnérabilité critique dans une ligne de ses dispositifs de pare-feu et n’a divulgué explicitement la faille que mercredi, à la suite de révélations que des pirates de l’appareil militaire russe l’ont exploitée en masse pour assembler un énorme botnet.
Le 23 février, les forces de l’ordre aux États-Unis et au Royaume-Uni ont averti que des membres de Sandworm, l’un des groupes de pirates informatiques les plus agressifs et les plus élitistes du gouvernement russe, infectaient les pare-feu WatchGuard avec des logiciels malveillants qui intégraient les pare-feu à un vaste botnet. Le même jour, WatchGuard a publié un outil logiciel et des instructions pour identifier et verrouiller les appareils infectés. Parmi les instructions, il fallait s’assurer que les appareils exécutaient la dernière version du système d’exploitation Fireware de l’entreprise.
Faire courir des risques inutiles aux clients
Dans des documents judiciaires non scellés mercredi, un agent du FBI a écrit que les pare-feu WatchGuard piratés par Sandworm étaient “vulnérables à un exploit qui permet un accès à distance non autorisé aux panneaux de gestion de ces appareils”. Ce n’est qu’après que le document judiciaire a été rendu public que WatchGuard a publié cette FAQ, qui faisait pour la première fois référence à CVE-2022-23176, une vulnérabilité avec un indice de gravité de 8,8 sur 10 possibles.
“Les appliances WatchGuard Firebox et XTM permettent à un attaquant distant avec des informations d’identification non privilégiées d’accéder au système avec une session de gestion privilégiée via un accès de gestion exposé”, lit-on dans la description. “Cette vulnérabilité affecte le système d’exploitation Fireware avant 12.7.2_U1, 12.x avant 12.1.3_U3 et 12.2.x à 12.5.x avant 12.5.7_U3.”
La FAQ de WatchGuard a déclaré que CVE-2022-23176 avait été “entièrement résolu par des correctifs de sécurité qui ont commencé à être déployés dans les mises à jour logicielles en mai 2021”. La FAQ a poursuivi en indiquant que les enquêtes menées par WatchGuard et la société de sécurité externe Mandiant “n’ont trouvé aucune preuve que l’acteur de la menace a exploité une vulnérabilité différente”.
Publicité
Lorsque WatchGuard a publié les mises à jour logicielles de mai 2021, la société n’a fait que les références les plus obliques à la vulnérabilité.
“Ces versions incluent également des correctifs pour résoudre les problèmes de sécurité détectés en interne”, a déclaré un article de la société. “Ces problèmes ont été découverts par nos ingénieurs et n’ont pas été trouvés activement dans la nature. Afin de ne pas guider les acteurs potentiels de la menace vers la recherche et l’exploitation de ces problèmes découverts en interne, nous ne partageons pas les détails techniques sur ces failles qu’ils contenaient.
Selon la FAQ de mercredi, des agents du FBI ont informé WatchGuard en novembre qu’environ 1 % des pare-feu qu’il avait vendus avaient été infectés par Cyclops Blink, une nouvelle souche de malware développée par Sandworm pour remplacer un botnet que le FBI a démantelé en 2018. Trois mois après avoir appris des infections du FBI, WatchGuard a publié l’outil de détection et le plan de diagnostic et de correction en 4 étapes pour les appareils infectés. La société a obtenu la désignation CVE-2022-23176 un jour plus tard, le 24 février.
Même après toutes ces étapes, y compris l’obtention du CVE, cependant, la société n’a toujours pas divulgué explicitement la vulnérabilité critique qui avait été corrigée dans les mises à jour logicielles de mai 2021. Les professionnels de la sécurité, dont beaucoup ont passé des semaines à travailler pour débarrasser Internet des appareils vulnérables, ont fustigé WatchGuard pour ne pas avoir divulgué explicitement.
“Il s’avère que les acteurs de la menace * DID * trouvent et exploitent les problèmes”, a déclaré Will Dormann, analyste des vulnérabilités au CERT, dans un message privé. Il faisait référence à l’explication de WatchGuard de mai selon laquelle la société retenait les détails techniques pour empêcher l’exploitation des problèmes de sécurité. “Et sans l’émission d’un CVE, plus de leurs clients ont été exposés que nécessaire.”
Il a continué:
WatchGuard aurait dû attribuer un CVE lors de la publication d’une mise à jour qui corrigeait la vulnérabilité. Ils ont également eu une deuxième chance d’attribuer un CVE lorsqu’ils ont été contactés par le FBI en novembre. Mais ils ont attendu près de 3 mois complets après la notification du FBI (environ 8 mois au total) avant d’attribuer un CVE. Ce comportement est préjudiciable et expose leurs clients à des risques inutiles.
Les représentants de WatchGuard n’ont pas répondu aux demandes répétées d’éclaircissements ou de commentaires.