Le fournisseur de sécurité WatchGuard a discrètement corrigé une vulnérabilité critique dans une ligne de ses dispositifs de pare-feu et n’a pas divulgué explicitement la faille pendant au moins sept mois, à la suite de révélations que des pirates de l’appareil militaire russe ont exploité la faille en masse pour assembler un botnet géant.
WatchGuard a corrigé la vulnérabilité en mai 2021 dans le cadre d’une mise à jour majeure de son système d’exploitation Fireware et n’y a fait que les références les plus obliques à l’époque.
La sécurité par l’obscurité frappe à nouveau
« Ces versions incluent également des correctifs pour résoudre les problèmes de sécurité détectés en interne », a déclaré un article de la société. « Ces problèmes ont été découverts par nos ingénieurs et n’ont pas été trouvés activement dans la nature. Afin de ne pas guider les acteurs potentiels de la menace vers la recherche et l’exploitation de ces problèmes découverts en interne, nous ne partageons pas les détails techniques sur ces failles qu’ils contenaient.
Nous savons maintenant que l’un des « problèmes de sécurité » était CVE-2022-23176, une vulnérabilité de contournement d’authentification avec un indice de gravité de 8,8 sur 10 possibles. Il permet à un attaquant distant avec des informations d’identification non privilégiées d’accéder au système avec une gestion privilégiée. session via un accès de gestion exposé. Pour des raisons qui ne sont pas claires, WatchGuard n’a pas obtenu de CVE au moment du patch.
WatchGuard a déclaré avoir appris du FBI en novembre que la vulnérabilité était un vecteur clé pour Cyclops Blink, le nom du malware utilisé par un groupe de piratage d’État russe connu sous le nom de Sandworm pour créer un botnet. La société a déclaré qu’elle n’avait pas obtenu de CVE pour la vulnérabilité avant janvier et qu’elle n’était pas libre de la divulguer avant le 23 février selon un calendrier fixé par le FBI qui enquêtait sur l’affaire.
Le 23 février, la société a publié un outil logiciel et des instructions pour identifier et verrouiller les appareils infectés, un article de blog décrivant Cyclops Blink et une FAQ détaillée, mais aucun d’entre eux n’a fait référence à la CVE, malgré l’accord du FBI. .
Le seul endroit où WatchGuard a publié la CVE le 23 février était dans les mises à jour apportées aux notes de publication de mai 2021. La société n’a ajouté le CVE à la FAQ que mercredi après avoir reçu des questions sur le calendrier de la part des journalistes.
Faire courir des risques inutiles aux clients
Les professionnels de la sécurité, dont beaucoup ont passé des semaines à travailler pour débarrasser Internet des appareils vulnérables, ont fustigé WatchGuard pour la justification qu’il a donnée en mai pour ne pas avoir explicitement divulgué la faille en tant que CVE lorsqu’elle a été corrigée dans la mise à jour logicielle. Enterrer la mention du CVE dans la mise à jour du 23 février des notes de publication et ne pas signaler le CVE dans la FAQ jusqu’à mercredi n’a fait qu’empêcher les utilisateurs d’évaluer leur risque, ont-ils déclaré.
« Il s’avère que les acteurs de la menace * DID * trouvent et exploitent les problèmes », a déclaré Will Dormann, analyste des vulnérabilités au CERT, dans un message privé. Il faisait référence à l’explication de WatchGuard de mai selon laquelle la société retenait les détails techniques pour empêcher l’exploitation des problèmes de sécurité. « Et sans l’émission d’un CVE, plus de leurs clients ont été exposés que nécessaire. »
Il a continué:
WatchGuard aurait dû attribuer un CVE lors de la publication d’une mise à jour qui corrigeait la vulnérabilité. Ils ont également eu une seconde chance d’attribuer un CVE lorsqu’ils ont été contactés par le FBI en novembre. Mais ils ont attendu près de 3 mois complets après la notification du FBI (environ 8 mois au total) avant d’attribuer un CVE. Ce comportement est préjudiciable et expose leurs clients à des risques inutiles.
Les représentants de WatchGuard n’ont répondu aux demandes répétées d’éclaircissements ou de commentaires que 16 heures après la mise en ligne de ce message sur Ars. Ce message a été mis à jour pour corriger la date à laquelle la société a fait référence à la CVE pour la première fois. Il a été ajouté discrètement aux notes de publication le 23 février. La société ne l’a pas appelé ailleurs jusqu’à mercredi, lorsqu’il l’a finalement ajouté à la FAQ.
Un porte-parole de WatchGuard n’a pas expliqué pourquoi l’entreprise a attendu jusqu’à cette année pour obtenir un CVE pour une faille de sécurité d’un tel niveau de gravité.