WatchGuard corrigió varias vulnerabilidades en dos marcas principales de firewall que se clasificaron entre gravedad media y crítica.
En combinación, dos de las vulnerabilidades permitieron al ingeniero de seguridad de Ambionics, Charles Fol, obtener una raíz remota de autenticación previa en cada dispositivo WatchGuard Firebox o XTM.
Tanto los rangos Firebox como XTM estuvieron implicados a principios de este año en una serie de ataques de hacking, con el actor de amenazas patrocinado por el estado ruso Sandworm abusando de una vulnerabilidad de escalada de privilegios para construir una botnet llamada Cyclops Blink que fue eliminada en abril. Durante un período de cuatro meses, WatchGuard lanzó tres actualizaciones de firmware, parcheando una serie de vulnerabilidades críticas.
Y, por coincidencia, dijo Fol, fue entonces cuando comenzó a buscar vulnerabilidades explotables en los firewalls para un compromiso del equipo rojo. Encontró cinco en los productos WatchGuard, de los cuales dos fueron parcheados durante su investigación, que está documentado en un artículo publicado a principios de esta semana.
Los tres defectos restantes eran la inyección ciega de Xpath, que le permitía recuperar la configuración de un dispositivo, incluidas las credenciales maestras; desbordamiento de enteros, que permitió a un atacante ejecutar código malicioso en dispositivos remotos; y una tercera vulnerabilidad que significaba que era posible escalar privilegios de un usuario con privilegios bajos a root.
Acceso completo como root
“Al combinar los dos últimos, un atacante remoto no autenticado puede obtener acceso completo al sistema de firewall como superusuario o root”, dijo Fol a The Daily Swig.
“Este es el peor impacto posible. Él o ella ahora puede leer o cambiar la configuración, interceptar el tráfico, etcétera.
“El primero, en algunos casos, permite que un atacante obtenga las credenciales maestras de los servidores de autenticación y posiblemente las use para conectarse como administrador en el firewall”.
Fol cree que menos usuarios de WatchGuard ahora tienen su interfaz de administración expuesta en Internet, gracias a las muchas alertas de seguridad que se generaron en el momento de su investigación, incluidas las relacionadas con Cyclops Blink.
Sin embargo, dijo, “la primera vulnerabilidad, Xpath, es accesible a través de la interfaz de cliente estándar y, como tal, es mucho más probable que esté expuesta; una búsqueda rápida de shodan reveló alrededor de 350.000 instancias”.
Aconseja a los usuarios que eliminen su interfaz de administración de Internet y se aseguren de mantener sus sistemas actualizados.
Fol dijo que informó sobre las vulnerabilidades a fines de marzo y recibió una respuesta rápida. Un mes después, el equipo de seguridad de WatchGuard confirmó que un parche estaría disponible el 21 de junio.
En general, dijo, la divulgación fue un “gran proceso respetuoso”.