Das US-Justizministerium (U.S. Department of Justice, DOJ) hat am 6. April über weitere erfolgte Maßnahmen zur Aushebelung des Cyclops-Blink-Botnets informiert. Von diesem hochentwickelten, staatlich gesponserten Botnet waren die Netzwerkgeräte verschiedener Hersteller betroffen – darunter auch eine begrenzte Anzahl (weniger als 1 Prozent) der WatchGuard Firewall-Appliances.
Bereits am 23. Februar veröffentlichte WatchGuard einen vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“, mit dem WatchGuard-Anwender in die Lage versetzt wurden, die Bedrohung durch das Cyclops-Blink-Botnet auf ihren Appliances zu erkennen und – falls notwendig – zu beseitigen. Die am 6. April vom DOJ verkündeten Maßnahmen verringern das von Cyclops Blink ausgehende Risiko weiter, da dadurch die Command-and-Control-Infrastruktur des Botnets lahmgelegt wurde, was die Ausführung schadhafter Folgeprozesse verhindert. WatchGuard wurde in dem Zusammenhang für seinen Beitrag gelobt – sowohl hinsichtlich der schnellen Bereitstellung seiner Werkzeuge zur Erkennung und Beseitigung für Kunden sowie Partner als auch im Zuge der Zusammenarbeit mit den Regierungsbehörden bei der Zerschlagung des Botnets.
WatchGuard bedankt sich an dieser Stelle ausdrücklich für die schnelle Reaktion seiner Partner und Kunden. Die zügige Umsetzung des vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“ hat zu einer noch nie dagewesenen Akzeptanz und schnellen Verbreitung der neuesten Fireware OS-Firmware geführt, die allen Kunden kontinuierlichen Schutz bietet. Es konnte im Zuge dessen nicht nur die Bedrohung von den betroffenen Appliances beseitigt werden. Darüber hinaus wurde auch das Bewusstsein auf Kundenseite geschärft, wie wichtig es ist, Port-Management-Policies mit uneingeschränkter Berechtigung unter allen Umständen zu vermeiden und die einschlägigen Sicherheitsempfehlungen der Branche zu beherzigen.
WatchGuard rät allen Kunden, die den vierstufigen „Cyclops Blink Diagnosis and Remediation Plan“ von WatchGuard noch nicht abgeschlossen haben, umgehend die Website detection.watchguard.com zu besuchen und die dort beschriebenen Maßnahmen zur Diagnose, gegebenenfalls Bekämpfung sowie Verhinderung zukünftiger Infektionen zu ergreifen. Sobald diese von WatchGuard bereitgestellten Handlungsempfehlungen vollständig durchgeführt wurden, sind die in Frage kommenden WatchGuard-Firewall-Appliances (andere WatchGuard-Produkte sind davon generell nicht betroffen) nicht mehr anfällig für eine Infektion durch Cyclops Blink.
Darüber hinaus steht der WatchGuard-Support rund um die Uhr zur Verfügung, um Kunden und Partner bei der Implementierung dieser Korrekturen zu unterstützen.
Autor: Paul Moll, WatchGuard
Quelle: WatchGuard Blog
Zusätzliche Ressourcen:
- WatchGuards vierstufiger „Cyclops Blink Diagnosis and Remediation Plan“
- Häufig gestellte Fragen zu Cyclops Blink (FAQ)
- WatchGuard-Blog mit der dringenden Handlungsempfehlung zu staatlich gesponserter Botnet-Attacke Cyclops Blink vom 24. Februar
- Security Best Practices von FBI, CISA, NSA und UK NCSC
Fachartikel
Studien
Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf
GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind
Studie: Sicherheitsbedenken bremsen Tech-Innovation aus
Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit
Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos
Whitepaper
Deutsche Wirtschaft setzt auch auf Open Source
Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen
IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren
Trotz gutem Gehalt: Drei viertel aller IT-Fachkräfte sind wechselbereit
