Los investigadores han descubierto numerosas vulnerabilidades de seguridad en dos marcas diferentes de firewalls WatchGuard que amenazan la seguridad del usuario. La explotación de las vulnerabilidades podría permitir a los atacantes obtener acceso de root a los sistemas de destino. Desde entonces, los proveedores han reparado las fallas después de los informes de errores.
Vulnerabilidades del cortafuegos de WatchGuard
Según un informe de Ambionics, sus investigadores encontraron cinco vulnerabilidades de seguridad diferentes en las marcas de firewall WatchGuard, Firebox y XTM. Estos cortafuegos están disponibles en varias arquitecturas informáticas, modelos de dispositivos y versiones de firmware. Como resultado, las vulnerabilidades en estos dos sistemas afectaron a una variedad de sistemas.
Como se explicó, encontraron las vulnerabilidades mientras dirigían el equipo rojo, luego de la explotación activa de los firewalls WatchGuard de la APT rusa. Si bien las vulnerabilidades que desencadenaron el ataque recibieron los parches correspondientes, los investigadores encontraron otras cinco fallas que afectan la seguridad del firewall.
Específicamente, estas cinco vulnerabilidades incluyen,
- Desbordamiento .bss alfanumérico ciego (CVE-2022-26318).
- Inyección XPath basada en el tiempo (CVE-2022-31790)
- Desbordamiento de enteros que causa desbordamiento de montón/UAF (CVE-2022-31789)
- Shell raíz posterior a la autenticación
- nadie en la escalada de privilegios de raíz
Con respecto a los detalles técnicos y las vulnerabilidades, los investigadores explicaron cómo estas vulnerabilidades permitirían a un adversario obtener privilegios de root en los sistemas de destino. Específicamente, crearon ocho PoC de estas cinco vulnerabilidades, lo que demuestra la amenaza para los dispositivos Firebox/XTM.
Según los investigadores, los dos firewalls de WatchGuard en su estudio fueron atacados a principios de este año. Mientras escaneaban los dispositivos, descubrieron miles de firewalls con interfaces administrativas expuestas en los puertos 8080/4117. Esto significa que un atacante podría buscar fácilmente máquinas vulnerables para tomar el control e incluso podría formar una red de bots.
Si bien WatchGuard solucionó la mayoría de estos problemas, la última pero más crítica falla que permite el acceso a la raíz se informó como el día cero.
Para evitar la explotación debido a la facilidad de descubrimiento de dispositivos vulnerables en Shodan, el ingeniero de seguridad de Ambionics, Charles Fol, sugirió a los usuarios que eliminen la interfaz de administración. Además, Fol también insta a los usuarios a mantener sus dispositivos actualizados para obtener parches de seguridad oportunos.