„Cyclops Blink“ – Botnet-Angriff auf WatchGuard Firewalls

Verschiedene Sicherheitsbehörden und der Hersteller WatchGuard warnen vor einem aktuellen Cyberangriff mit dem Untertitel „Cyclops Blink“, welcher augenscheinlich durch die russische Hacker-Formation Sandworm alias APT28 alias Fancy Bear organisiert ist. Beobachtet wurde eine Übernahme von Firewalls mit Command-and-Control-Servern und das Einspielen von manipuliertem Software-Code.

Der Hersteller beantwortet auf dieser Seite die häufigsten Fragen zu den Angriffen und kann sicherlich den Großteil seiner Kunden mit folgenden Sätzen beruhigen: „Based on current estimates, Cyclops Blink may have affected approximately 1% of active WatchGuard firewall appliances. Only those appliances that had been configured to have management open to the Internet are vulnerable to Cyclops Blink.“

Das bedeutet für Sie: wenn Ihre WatchGuard-Firewall über eine Policy verfügt, die einen Zugriff das Management-Interface von überall aus dem Internet erlaubt, ist sie nach Aussage des Herstellers anfällig für den Angriff – ansonsten aber nicht. Eine solche Policy ist standardmäßig nicht vorhanden und muss manuell konfiguriert werden.

Der Hersteller liefert außerdem einen detaillierten 4-Schritte-Plan, wie ein Befall festgestellt und behoben werden kann. Ein Update auf die gestern erschienene Version von Fireware 12.7.2 U2 wird allgemein empfohlen.

Wenn Sie unsicher sind, ob Ihre WatchGuard-Firewall betroffen sein könnte, oder wenn Sie ein Update vornehmen möchten und Unterstützung benötigen, wenden Sie sich gern an die Ihnen bekannten Ansprechpartner oder telefonisch an die 02234/2777700.