Компанията за имейл и мрежова сигурност Barracuda предупреждава клиентите си, че трябва да заменят устройствата Email Security Gateway (ESG), хакнати при атаки, насочени към вече поправена уязвимост от нулев ден.
„Засегнатите ESG устройства трябва незабавно да бъдат заменени, независимо от нивото на версията на кръпката“, предупреждава компанията в актуализация на първоначалната консултация, публикувана във вторник.
„Препоръката на Barracuda за отстраняване на проблема към този момент е пълна подмяна на засегнатите ESG.“
Според Barracuda засегнатите клиенти вече са били уведомени чрез потребителския интерфейс на нарушените ESG. Клиентите, които все още не са заменили своите устройства, се призовават да се свържат спешно с поддръжката по имейл.
Предупреждението идва, след като критичният недостатък на Barracuda ESG за дистанционно инжектиране на команди, проследен като CVE-2023-2868, беше поправен дистанционно на 20 май, а достъпът на нападателите до компрометираните устройства беше прекъснат един ден по-късно чрез внедряване на специален скрипт.
На 24 май Barracuda предупреди клиентите си, че техните ESG устройства може да са били пробити чрез грешката CVE-2023-2868, и ги посъветва да проучат средата си за признаци на проникване.
Експлоатирана поне от октомври 2022 г.
Преди да бъде поправен, бъгът в Barracuda ESG е бил експлоатиран като нулев ден в продължение на поне седем месеца, за да се вкара в ESG устройствата на клиентите с персонализиран зловреден софтуер и да се откраднат данни, както компанията разкри преди една седмица.
За първи път той е бил използван през октомври 2022 г. за пробив в „подгрупа от ESG устройства“ и инсталиране на злонамерен софтуер, който е осигурил на нападателите постоянен достъп до компрометираните устройства.
Те са използвали зловреден софтуер Saltwater, за да отворят задните врати на заразените уреди, и зловреден инструмент, наречен SeaSide, за да създадат обратни обвивки за лесен отдалечен достъп чрез SMTP HELO/EHLO команди.
Впоследствие бандитите са се възползвали от достъпа си, за да откраднат информация от устройствата със задна вратичка.
CISA също така добави уязвимостта CVE-2023-2868 към каталога на бъговете, използвани при атаки, като предупреди федералните агенции с уреди ESG да проверят мрежите си за доказателства за пробиви.
Barracuda твърди, че нейните продукти се използват от над 200 000 организации, включително от високопоставени компании като Samsung, Delta Airlines, Mitsubishi и Kraft Heinz.
