Nell’azienda di Paolo, un lunedì mattina, arriva nella casella di posta di Giovanni un messaggio che recita: “Questo è un avviso di sicurezza critico per i partner WatchGuard che richiede un’azione immediata per i firewall WatchGuard.”
Preoccupato, Giovanni chiama immediatamente il supporto Pipeline e domanda cosa sia successo e cosa fare per risolvere il problema. L’avviso è frutto di un nuovo malware uscito recentemente che prende di mira una vulnerabilità in alcuni firewall Watchguard, spiegano i tecnici di Pipeline.
Che cos'è il Cyclops Blink? Facciamo chiarezza
Cyclops Blink è un malware modulare. Il gruppo di hacker “Sandworm” ha sviluppato il malware e nelle ultime settimane è stato diffuso anche verso organizzazioni, presenti sul territorio italiano.
Cyclops Blink, in breve, è un “pezzo di malware altamente sofisticato” sviluppato in modo professionale. Tra l’altro, carica e scarica file da dispositivi infetti e consente l’aggiunta di nuove funzionalità al malware già in esecuzione.
Il CISRT Italia (Computer Security Incident Response Team). L’istituito presso l’Agenzia per la cybersicurezza nazionale (ACN) dichiara:
“Cyclops Blink è rilasciato per i dispositivi di rete collegati su Internet. In particolare, relativi al firewall di WatchGuard. Il malware può essere presente sui dispositivi grazie allo sfruttamento di un aggiornamento firmware apparentemente regolare, che garantisce al malware l’esecuzione del codice, anche a seguito di eventuali riavvii dei sistemi interessati.”
In un altra nota Watchguard riferisce che:
“Stando alle stime correnti, Cyclops Blink potrebbe avere colpito circa l’1% degli apparecchi firewall WatchGuard attivi. Solo gli apparecchi che sono stati configurati per avere una gestione aperta a Internet sono vulnerabili a Cyclops Blink. Non sono a rischio gli apparecchi firewall che non sono mai stati configurati per permettere accessi di gestione senza restrizioni da Internet. L’accesso di gestione limitato è l’impostazione predefinita per tutti gli apparecchi firewall fisici WatchGuard. Nessun altro prodotto WatchGuard è interessato.”