El proveedor de seguridad WatchGuard corrigió silenciosamente una vulnerabilidad crítica en una línea de sus dispositivos “firewall” y no reveló explícitamente el fallo durante al menos siete meses, tras las revelaciones de que “hackers” del aparato militar ruso explotaron el fallo en masa para montar una gigantesca “botnet” (red maliciosa conformada por “bots”).

En mayo de 2021, WatchGuard corrigió la vulnerabilidad como parte de una importante actualización de su sistema operativo Fireware, y sólo hizo la más mínima de las referencias a ella en ese momento.

La seguridad atacada a través de la oscuridad

Una publicación de la compañía decía que, "Estas versiones también incluyen correcciones para resolver problemas de seguridad detectados internamente". Además, "Estos problemas fueron encontrados por nuestros ingenieros y no se encontraron activamente en la naturaleza. Para no guiar a potenciales actores de amenazas hacia la búsqueda y explotación de estos problemas descubiertos internamente, no estamos compartiendo detalles técnicos sobre estos fallos que contenían."

Ahora se sabe ahora que uno de los "problemas de seguridad" era el CVE-2022-23176, una vulnerabilidad de elusión de la autenticación con una calificación de gravedad de 8,8 sobre 10 posibles. Esta permite a un atacante remoto con credenciales no privilegiadas acceder al sistema con una sesión de gestión privilegiada a través del acceso de gestión expuesto. Por razones que no están claras, WatchGuard no obtuvo un CVE (Vulnerabilidades y Exposiciones Comunes) en el momento de aplicar el parche de seguridad.

En noviembre se enteró a través del FBI, dijo WatchGuard de que la vulnerabilidad era un vector clave para Cyclops Blink, el nombre del malware utilizado por un grupo de hacking estatal ruso conocido como Sandworm para generar una red de bots. La empresa dijo que no obtuvo un CVE para la vulnerabilidad hasta enero y que no tuvo la libertad de revelarla hasta el 23 de febrero en virtud de un calendario establecido por el FBI que estaba investigando el asunto.

El 23 de febrero, la empresa publicó una herramienta de software e instrucciones para identificar y bloquear los dispositivos infectados, una publicación del blog en la que se describía Cyclops Blink y unas FAQ (Preguntas Frecuentes) detalladas, pero en ninguna de ellas se hacía referencia al CVE, a pesar de tener el visto bueno del FBI.

El único lugar en el que WatchGuard publicó la CVE el 23 de febrero fue en las actualizaciones que hizo de las notas de la versión de mayo de 2021. La empresa no añadió la CVE a las preguntas frecuentes hasta el miércoles, después de recibir preguntas de los periodistas sobre el momento.

Riesgo innecesario para los clientes

Watchguard fue criticado por profesionales de la seguridad, muchos de los cuales han pasado semanas trabajando para librar a Internet de dispositivos vulnerables, por la justificación que dio en mayo para no revelar explícitamente el fallo como un CVE cuando se corrigió en la actualización de software. Dijeron que ocultar la mención del CVE en la actualización del 23 de febrero en las notas de la versión y no señalar el CVE en las preguntas frecuentes hasta el miércoles sólo hizo más difícil para los usuarios evaluar su riesgo.

Will Dormann, analista de vulnerabilidades del CERT (Equipo de Respuesta para Emergencias Informáticas) dijo lo siguiente, "Resulta que los actores de las amenazas sí encontraron y explotaron los problemas". Se refería a la explicación de WatchGuard del mes de mayo, según la cual la empresa se reservaba los detalles técnicos para evitar que los problemas de seguridad fueran explotados. "Y sin la publicación de un CVE, más de sus clientes quedaron expuestos de lo necesario".

Continuó diciendo que:

Un portavoz de WatchGuard no explicó por qué la empresa esperó hasta este año para obtener un CVE para un fallo de seguridad con este nivel de gravedad.