O Federal Bureau of Investigation alertou que as correções para uma falha crítica de injeção de comando remoto do Barracuda Email Security Gateway (ESG) são "ineficazes", e os dispositivos corrigidos ainda estão sendo comprometidos em ataques contínuos.
Rastreada como
CVE-2023-2868
, a vulnerabilidade foi explorada pela primeira vez em outubro de 2022 para fazer backdoor em dispositivos ESG e roubar dados dos sistemas comprometidos.
Os invasores implantaram malware anteriormente desconhecido, SeaSpy e Saltwater, e uma ferramenta maliciosa, SeaSide, para estabelecer shells reversos para acesso remoto.
A CISA desde então compartilhou mais detalhes sobre o malware Submariner e Whirlpool que foi implantado nos mesmos ataques.
A agência de cibersegurança dos EUA também adicionou o bug ao seu catálogo de bugs ativamente explorados em 27 de maio, alertando as agências federais a verificar suas redes em busca de evidências de violações.
Embora a Barracuda tenha corrigido todos os dispositivos à distância e bloqueado o acesso dos invasores aos dispositivos violados em 20 de maio, um dia após a identificação do bug, ela também alertou todos os seus clientes em 7 de junho que eles devem substituir todos os dispositivos impactados imediatamente, provavelmente porque não conseguia garantir a remoção completa do malware implantado nos ataques.
A Mandiant posteriormente vinculou a campanha de roubo de dados que visava dispositivos ESG da Barracuda usando exploits
CVE-2023-2868
ao grupo de ameaças UNC4841, descrito como um suposto grupo de hackers pró-China.
O FBI agora reforçou o alerta da Barracuda aos clientes de que eles devem isolar e substituir urgentemente dispositivos hackeados, dizendo que os hackers chineses ainda estão explorando ativamente a vulnerabilidade e até mesmo dispositivos corrigidos estão em risco de comprometimento devido a correções "ineficazes".
"O FBI aconselha fortemente que todos os dispositivos ESG afetados sejam isolados e substituídos imediatamente, e todas as redes verificadas por conexões com a lista fornecida de indicadores de comprometimento imediatamente", alertou a agência federal de aplicação da lei [PDF] em um alerta de flash emitido na quarta-feira.
"As correções liberadas pela Barracuda em resposta a esse CVE foram ineficazes.
O FBI continua observando intrusões ativas e considera todos os dispositivos ESG da Barracuda afetados como comprometidos e vulneráveis a este exploit.
"O FBI verificou independentemente que todos os dispositivos ESG explorados, mesmo aqueles com correções enviadas pela Barracuda, permanecem em risco de comprometimento contínuo da rede de computadores por supostos atores cibernéticos da PRC explorando essa vulnerabilidade."
Além disso, a agência aconselhou os clientes da Barracuda a investigar suas redes em busca de possíveis violações adicionais, verificando conexões de saída para IPs na lista de indicadores de comprometimento (IOCs) compartilhados no aviso.
Aqueles que usaram credenciais privilegiadas de empresa com seus dispositivos Barracuda (por exemplo, Active Directory Domain Admin) também foram instados a revogá-las e rodá-las para frustrar as tentativas dos atacantes de manter persistência na rede.
A Barracuda diz que seus produtos de segurança estão sendo usados por mais de 200.000 organizações em todo o mundo, incluindo empresas de alto perfil como Samsung, Delta Airlines, Mitsubishi e Kraft Heinz.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...