Федералното бюро за разследване на САЩ (ФБР) предупреждава, че устройствата на Barracuda Networks Email Security Gateway (ESG), които са коригирани срещу наскоро разкрит критичен недостатък, продължават да бъдат изложени на риск от потенциален компрометиращ ефект от предполагаеми китайски хакерски групи.
То също така счита поправките за „неефективни“ и че „продължава да наблюдава активни прониквания и счита, че всички засегнати устройства Barracuda ESG са компрометирани и уязвими към този експлойт“.
Проследен като CVE-2023-2868 (CVSS оценка: 9,8), бъгът от нулев ден се твърди, че е бил въоръжен още през октомври 2022 г., повече от седем месеца преди дупката в сигурността да бъде запушена. Притежаваната от Google компания Mandiant проследява клъстера за активност на Китай и Анекс под името UNC4841.
Уязвимостта с дистанционно инжектиране на команди, засягаща версиите от 5.1.3.001 до 9.2.0.006, позволява неоторизирано изпълнение на системни команди с администраторски права в продукта на ESG.
При наблюдаваните досега атаки успешният пробив действа като канал за разгръщане на множество щамове на зловреден софтуер, като SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL и SUBMARINE (известен още като DEPTHCHARGE), които позволяват изпълнението на произволни команди и заобикаляне на защитата.
„Кибероператорите са използвали тази уязвимост, за да вкарат зловреден полезен товар в устройството ESG с различни възможности, които позволяват постоянен достъп, сканиране на имейли, събиране на данни и ексфилтриране на данни“, заяви ФБР.
Фирмата за разузнаване на заплахите характеризира UNC4841 като агресивна и умела, демонстрираща усет за изтънченост и бързо адаптираща персонализираните си инструменти, за да използва допълнителни механизми за постоянство и да поддържа позициите си във високоприоритетни цели.
Федералната агенция препоръчва на клиентите незабавно да изолират и заменят всички засегнати ESG устройства и да сканират мрежите за подозрителен изходящ трафик.
Актуализация
Когато беше потърсена за коментар, Barracuda Networks сподели следното изявление с The Hacker News –
Насоките на Barracuda остават последователни за клиентите. От излишък на предпазливост и в изпълнение на нашата стратегия за ограничаване на разпространението на вируса препоръчваме на засегнатите клиенти да заменят компрометираното си устройство. Ако клиентът е получил известие за потребителския интерфейс или с него се е свързал представител на техническата поддръжка на Barracuda, той трябва да се свърже с support@barracuda[.]com, за да замени уреда ESG. Barracuda предоставя продукта за замяна на засегнатите клиенти безплатно.
Уведомихме клиентите, засегнати от този инцидент. Ако уредът ESG показва известие в потребителския интерфейс, уредът ESG е имал индикатори за компрометиране. Ако не се показва известие, към момента нямаме причина да смятаме, че уредът е бил компрометиран. Отново, този инцидент е засегнал само част от устройствата на ESG.
