WatchGuard onder vuur omdat het kritiek lek maandenlang niet expliciet vermeldde

Securitybedrijf WatchGuard is onder vuur komen te liggen omdat het een kritieke kwetsbaarheid in de eigen firewalls, waar uiteindelijk misbruik van werd gemaakt, zeven maandenlang niet expliciet vermeldde. De Amerikaanse overheid heeft federale instanties opgeroepen om het beveiligingslek voor 2 mei te patchen.

Vorig jaar mei kwam WatchGuard met firmware-updates die “intern gevonden beveiligingsproblemen” verhielpen. Er werd niet vermeld om wat voor problemen het ging en ook gaf WatchGuard geen CVE-nummers, waarmee kwetsbaarheden worden ge├»dentificeerd. In februari van dit jaar waarschuwden de Amerikaanse en Britse autoriteiten dat een groep genaamd Sandworm, die aan de Russische geheime dienst GRU gelieerd zou zijn, WatchGuard-firewalls met de Cyclops Blink-malware had ge├»nfecteerd.

Hoe de aanvallers toegang tot de firewalls wisten te krijgen was onbekend. Nu blijkt volgens WatchGuard dat ze een kritiek beveiligingslek gebruikten dat het vorig jaar mei had verholpen. De kwetsbaarheid maakt het mogelijk voor aanvallers, bij firewalls waarvan de beheerdersinterface vanaf internet toegankelijk is, via “unprivileged credentials” in te loggen en vervolgens met hogere rechten te worden ingelogd.

WatchGuard stelde dat erop het moment dat de firmware-updates uitkwamen geen misbruik van het lek werd gemaakt en het bewust geen details over het beveiligingslek deelde om aanvallers niet wijzer te maken. Nu blijkt dat het deze kwetsbaarheid was die Sandworm-groep gebruikte. De impact van het beveiligingslek, aangeduid als CVE-2022-23176, is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Pas in januari verkreeg WatchGuard een CVE-nummer voor het lek. Dit CVE-nummer werd pas vorige week in de FAQ over de Cyclops Blink-malware vermeld.

Beveiligingsexperts hekelen het gedrag van WatchGuard en stellen dat het bedrijf hiermee voor een onnodig beveiligingsrisico heeft gezorgd. “Wanneer er een update wordt uitgebracht kunnen mensen de code van voor en na de patch vergelijken om te zien wat er is veranderd, en zo de kwetsbaarheid zien. Wanneer CVE/CVSS niet worden vermeld, hebben aanvallers alles wat ze nodig hebben en verdedigers niet”, zegt Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.

Image

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl