Cyberthreat.id – Cybersecurity and Infrastructure Security Agency (CISA) memperingatkan organisasi terkait kerentanan pada peralatan WatchGuard yang dieksploitasi oleh kelompok peretas asal Rusia, Sandworm.

Dikutip dari Bleeping Computer, CISA telah memerintahkan badan-badan sipil federal dan mendesak semua organisasi AS untuk segera memperbaiki kerentanan yang dieksploitasi secara aktif yang berdampak pada peralatan Firebox WatchGuard dan firewall XTM.

Sandworm, kelompok peretasan yang disponsori Rusia, yang juga diyakini sebagai bagian dari badan intelijen militer Rusia GRU, diketahui telah mengeksploitasi kerentanan CVE-2022-23176 yang sangat parah. Kerentanan ini dimanfaatkan untuk membangun botnet baru yang diberi nama Cyclops Blink dari WatchGuard Small Office yang disusupi atau perangkat jaringan Home Office (SOHO).

“Peralatan WatchGuard Firebox dan XTM memungkinkan penyerang jarak jauh dengan kredensial yang tidak memiliki hak untuk mengakses sistem dengan sesi manajemen yang diistimewakan melalui akses manajemen yang terbuka,” ungkap CISA.

CISA menjelaskan, kerentanan ini hanya dapat dieksploitasi jika dikonfigurasi untuk memungkinkan akses manajemen tidak terbatas dari Internet. Secara default, semua peralatan WatchGuard ini dikonfigurasi untuk akses manajemen terbatas.

Karena kerentanan ini, badan-badan Federal Civilian Executive Branch Agencies (FCEB) harus mengamankan sistem mereka dari kelemahan keamanan ini sesuai dengan BOD pada November 2021 lalu. CISA juga telah memberi mereka waktu tiga minggu, hingga 2 Mei, untuk menambal cacat CVE-2022-23176.

“Meskipun arahan ini hanya berlaku untuk agen federal, CISA juga sangat mendesak semua organisasi AS untuk memprioritaskan perbaikan bug untuk menghindari peralatan WatchGuard mereka disusupi,” kata CISA.

CISA mengatakan, Cyclops Blink, merupakan salah satu malware yang digunakan oleh kelompok Sandworm untuk membuat botnet mereka. Malware ini telah digunakan untuk menargetkan peralatan firewall WatchGuard Firebox dengan eksploitasi CVE-2022-23176, serta beberapa model router ASUS, sejak Juni 2019.

Malware ini memberikan akses pada perangkat, melalui pembaruan firmware, dan memberikan operatornya akses jarak jauh ke jaringan yang disusupi. Malware ini menggunakan saluran pembaruan firmware sah perangkat yang terinfeksi untuk mempertahankan akses ke perangkat yang disusupi dengan menyuntikkan kode berbahaya dan menyebarkan gambar firmware yang dikemas ulang.

Malware ini juga bersifat modular, sehingga memudahkan untuk meningkatkan dan menargetkan perangkat baru dan kerentanan keamanan, memanfaatkan kumpulan perangkat keras baru yang dapat dieksploitasi.

WatchGuard sendiri telah mengeluarkan rekomendasi keamanan setelah badan keamanan siber dan penegak hukum AS dan Inggris menghubungkan malware ke peretas GRU, mengatakan bahwa Cyclops Blink mungkin telah mengenai sekitar 1% dari semua peralatan firewall WatchGuard yang aktif.

Selain itu, dalam rekomendasi keamanan yang dikeluarkan NCSC Inggris, FBI, CISA, dan NSA mengatakan organisasi harus menganggap semua akun di perangkat yang terinfeksi telah disusupi. Admin juga harus segera menghapus akses Internet ke antarmuka (API) manajemen.[]
 

Editor: Yuswardi A. Suud