Η εταιρεία ασφάλειας ηλεκτρονικού ταχυδρομείου και δικτύων Barracuda προειδοποιεί τους πελάτες της ότι πρέπει να αντικαταστήσουν τις συσκευές Email Security Gateway (ESG) που έχουν παραβιαστεί σε επιθέσεις που στοχεύουν σε μια πλέον επιδιορθωμένη ευπάθεια zero-day.
«Οι συσκευές ESG που έχουν επηρεαστεί πρέπει να αντικατασταθούν αμέσως ανεξάρτητα από το επίπεδο έκδοσης της ενημέρωσης κώδικα», προειδοποίησε η εταιρεία σε μια ενημέρωση την Τρίτη στην αρχική συμβουλευτική.
«Η σύσταση αποκατάστασης του Barracuda αυτή τη στιγμή είναι η πλήρης αντικατάσταση του επηρεαζόμενου ESG.»
Σύμφωνα με την Barracuda, οι επηρεαζόμενοι πελάτες έχουν ήδη ειδοποιηθεί μέσω της διεπαφής χρήστη του παραβιασμένου ESG. Οι πελάτες που δεν έχουν ακόμη αντικαταστήσει τις συσκευές τους καλούνται να επικοινωνήσουν επειγόντως με την υποστήριξη μέσω email.
Η προειδοποίηση ήρθε μετά το κρίσιμο σφάλμα απομακρυσμένης έγχυσης εντολών του Barracuda ESG, που εντοπίζεται ως CVE-2023-2868, το οποίο επιδιορθώθηκε εξ αποστάσεως στις 20 Μαΐου. Η πρόσβαση των επιτιθέμενων στις παραβιασμένες συσκευές διακόπηκε μία ημέρα αργότερα με την ανάπτυξη ενός ειδικού script.
Στις 24 Μαΐου, η Barracuda προειδοποίησε τους πελάτες της ότι οι συσκευές ESG τους ενδέχεται να έχουν παραβιαστεί μέσω του σφάλματος CVE-2023-2868 και τους συμβούλεψε να ερευνήσουν τα περιβάλλοντά τους για ενδείξεις εισβολής.
Αξιοποιήθηκε τουλάχιστον από τον Οκτώβριο του 2022
Πριν από την επιδιόρθωση, το σφάλμα Barracuda ESG είχε χρησιμοποιηθεί ως zero-day για τουλάχιστον επτά μήνες για να ανοίξει backdoor στις συσκευές ESG των πελατών με προσαρμοσμένο κακόβουλο λογισμικό και να κλέψει δεδομένα, όπως αποκάλυψε η εταιρεία πριν από μία εβδομάδα.
Χρησιμοποιήθηκε για πρώτη φορά τον Οκτώβριο του 2022 για να παραβιάσει “ένα υποσύνολο συσκευών ESG” και να εγκαταστήσει κακόβουλο λογισμικό, το οποίο παρείχε στους επιτιθέμενους μόνιμη πρόσβαση στις παραβιασμένες συσκευές.
Ανέπτυξαν κακόβουλο λογισμικό Saltwater και SeaSpy για να παρακάμψουν τις μολυσμένες συσκευές και ένα κακόβουλο εργαλείο με το όνομα SeaSide για να δημιουργήσουν reverse shells για εύκολη απομακρυσμένη πρόσβαση μέσω εντολών SMTP HELO/EHLO.
Στη συνέχεια, οι απειλητικοί παράγοντες εκμεταλλεύτηκαν την πρόσβασή τους για να κλέψουν πληροφορίες από τα backdoored appliances.
Η CISA πρόσθεσε επίσης την ευπάθεια CVE-2023-2868 στον κατάλογο των σφαλμάτων που αξιοποιούνται σε επιθέσεις, προειδοποιώντας τις ομοσπονδιακές υπηρεσίες που διαθέτουν συσκευές ESG να ελέγχουν τα δίκτυά τους για ενδείξεις παραβιάσεων.
Η Barracuda δηλώνει ότι τα προϊόντα της χρησιμοποιούνται από περισσότερους από 200.000 οργανισμούς, συμπεριλαμβανομένων εταιρειών υψηλού προφίλ, όπως η Samsung, η Delta Airlines, η Mitsubishi και η Kraft Heinz.
Πηγή πληροφοριών: bleepingcomputer.com
