WatchGuard Firewalls: Cyclops Blink Botnet Befall (Deutsche Version)

Author: mp Category: Watchguard

Gemäss aktuellen Informationen sind eine begrenzte Anzahl (~1%) von WatchGuard Firewalls von einem staatlich gesponserten Botnet namens “Cyclops Blink” befallen worden. Obwohl es derzeit keine Beweise für eine Datenexfiltration gibt, ist es möglich, dass Daten der Firewalls kompromittiert wurden.

Die englische Version dieses Artikels finden Sie hier: https://blog.boll.ch/watchguard-firewalls-cyclops-blink-botnet/

Offizielle Stellungname

https://detection.watchguard.com/

Blog mit weiteren Informationen

https://www.watchguard.com/wgrd-news/blog/important-detection-and-remediation-actions-cyclops-blink-state-sponsored-botnet

Cyclops Blink FAQ

https://techsearch.watchguard.com/

1. Ist meine Firewall betroffen?

WatchGuard stellt verschiedene Möglichkeiten zur Verfügung, um einen Befall mit der Botnet Software auf den Firewalls zu finden:

Cyclops Blink Web Detector (online)

Auf der Webseite https://detection.watchguard.com/Detector kann man ein support.tgz der Firewall hochladen und auf Befall des Botnet prüfen.

WatchGuard System Manager Cyclops Blink Detector

In der neusten WSM Version 12.7.2 Update 2 (ab sofort herunterladbar) gibt es einen Cyclops Blink Detector:

Download der WSM Version 12.7.2 Update 2
https://cdn.watchguard.com/SoftwareCenter/Files/WSM/12_7_2_U2/wsm_12_7_2_U2.exe

WatchGuard Cloud Cyclops Blink Detector

Bei Firewalls, die in der WatchGuard Cloud zugefügt wurden, gibt es ebenfalls einen Cyclops Blink Detector:

2a. Meine Firewall ist nicht betroffen

Auch wenn die Firewall nicht betroffen ist, sollte man folgende Ratschläge raschmöglichst umsetzen:

Installieren der neusten Firmware

Hier findet man die neuste Firmware:
https://software.watchguard.com/SoftwareHome

Schliessen der Management Ports vom Internet

WatchGuard geht davon aus, dass die Schadsoftware über die Management Ports installiert werden konnte.
https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA10H000000XeAtSAK&lang=en_US

Ändern der Administrator Passwörter

Wenn möglich sollten die Administrator Passwörter regelmässig geändert werden.

2b. Meine Firewall ist betroffen

Je nach Art des Managements muss man die Firewall komplett resetten und neu aufsetzen, da sich die Schadsoftware in der Konfiguration und in der Software festsetzen kann:

Lokal gemanagte Firebox via WSM oder Fireware WebUI

Cyclops Blink: Remediate a Locally-Managed Firebox

WatchGuard Cloud gemanagte Fireboxen

Cyclops Blink: Remediate a Cloud-Managed Firebox

Firebox Cloud

Cyclops Blink: Remediate Firebox Cloud

FireboxV / XTMv

Cyclops Blink: Remediate FireboxV and XTMv

Fireboxen vom Management Server verwaltet

Cyclops Blink: Remediate a Firebox Managed by WSM Management Server

Loading

Leave a Reply

Your email address will not be published. Required fields are marked *