Le fournisseur de sécurité WatchGuard a discrètement corrigé une vulnérabilité critique dans un certain nombre de ses dispositifs de pare-feu et n’a pas explicitement divulgué la faille pendant au moins sept mois après qu’il a été révélé que des pirates de l’establishment militaire russe ont exploité en masse la faille pour créer un énorme botnet.
WatchGuard a corrigé la vulnérabilité en mai 2021 dans le cadre d’une mise à jour majeure de son système d’exploitation Fireware et n’a fourni que les indices les plus indirects à l’époque.
La sécurité par l’Obscurité a encore frappé
« Ces versions incluent également des correctifs pour résoudre les problèmes de sécurité identifiés en interne », a déclaré la société dans un message. « Ces problèmes ont été trouvés par nos ingénieurs et n’ont pas été activement trouvés dans la nature. Afin de ne pas tromper les acteurs potentiels de la menace pour qu’ils trouvent et exploitent ces problèmes découverts en interne, nous ne partageons pas les détails techniques sur les bogues qu’ils contenaient.
Nous savons maintenant que l’un des « problèmes de sécurité » était CVE-2022-23176, une vulnérabilité de contournement d’authentification avec une gravité de 8,8 sur 10 possibles. Il permet à un attaquant distant avec des informations d’identification non privilégiées d’accéder au système avec une session de gestion privilégiée via un accès de gestion exposé. Pour des raisons peu claires, WatchGuard n’a pas reçu de CVE au moment du correctif.
WatchGuard a déclaré avoir appris du FBI en novembre que la vulnérabilité était un vecteur clé pour Cyclops Blink, le nom du malware utilisé par un groupe de piratage public russe appelé Sandworm pour créer un botnet. La société a déclaré qu’elle n’avait pas reçu de CVE pour la vulnérabilité en janvier et qu’elle n’était pas libre de la divulguer avant le 23 février, selon un calendrier fixé par le FBI, qui enquête sur l’affaire.
Le 23 février, la société a publié un outil logiciel et des instructions pour identifier et interdire les appareils infectés, un article de blog décrivant Cyclops Blink et une FAQ détaillée, mais aucun d’entre eux n’a fait référence à la CVE, bien que le FBI ait donné le feu vert.
Le seul endroit où WatchGuard a publié la CVE du 23 février était dans les mises à jour apportées aux notes de publication de mai 2021. La société n’a ajouté le CVE à la FAQ que mercredi après avoir reçu des questions de journalistes sur le calendrier.
Exposer les clients à des risques inutiles
Les chercheurs en sécurité, dont beaucoup travaillent depuis des semaines pour débarrasser Internet des appareils vulnérables, ont critiqué WatchGuard pour la raison donnée en mai de ne pas divulguer explicitement le bogue en tant que CVE lorsqu’il a été corrigé dans une mise à jour logicielle. Enterrer la mention du CVE dans la mise à jour du 23 février dans les notes de publication et ne pas étiqueter le CVE dans la FAQ jusqu’à mercredi n’a fait qu’empêcher les utilisateurs d’évaluer leur risque, ont-ils déclaré.
« Il s’avère que les acteurs de la menace *DID* ont trouvé et exploité les problèmes », a déclaré Will Dormann, analyste des vulnérabilités au CERT, dans un message privé. Il faisait référence à la déclaration de WatchGuard en mai selon laquelle la société retient les détails techniques pour empêcher l’exploitation des vulnérabilités. « Et sans l’émission d’un CVE, plus de leurs clients n’étaient pas protégés qu’ils n’auraient dû l’être. »
Il a continué:
WatchGuard aurait dû attribuer un CVE lorsqu’il a publié une mise à jour qui corrige la vulnérabilité. Ils ont également eu une seconde chance d’attribuer un CVE lorsqu’ils ont été contactés par le FBI en novembre. Mais ils ont attendu près de 3 mois complets après la notification du FBI (environ 8 mois au total) avant d’attribuer un CVE. Ce comportement est préjudiciable et expose vos clients à des risques inutiles.
Les responsables de WatchGuard n’ont répondu aux demandes répétées d’éclaircissements ou de commentaires que 16 heures après la mise en ligne de ce message sur Ars. Ce message a été mis à jour pour corriger la date à laquelle l’entreprise s’est référée pour la première fois à la CVE. Il a été discrètement ajouté aux notes de version le 23 février. La société ne l’a mentionné ailleurs que mercredi, lorsqu’il a finalement été ajouté à la FAQ.
Un porte-parole de WatchGuard n’a pas expliqué pourquoi la société a attendu jusqu’à cette année pour obtenir un CVE pour une vulnérabilité de cette gravité.