A Barracuda revelou que atores de ameaça chineses exploraram um novo zero-day em seus appliances de Email Security Gateway (ESG) para implantar backdoors em um "número limitado" de dispositivos.
Rastreado como
CVE-2023-7102
, o problema está relacionado a um caso de execução arbitrária de código residente em uma biblioteca de terceiros e de código aberto chamada Spreadsheet::ParseExcel, que é usada pelo scanner Amavis dentro do gateway para analisar anexos de e-mail do Microsoft Excel em busca de malware.
A empresa atribuiu a atividade a um ator de ameaça rastreado pelo Mandiant de propriedade do Google como UNC4841, que já foi associado à exploração ativa de outro zero-day nos dispositivos da Barracuda (
CVE-2023-2868
, CVSS score: 9.8) no início deste ano.
A exploração bem-sucedida do novo defeito é conseguida por meio de um anexo de e-mail do Microsoft Excel especialmente criado.
Isto é seguido pela implantação de novas variantes de implantes conhecidos chamados SEASPY e SALTWATER que são equipados para oferecer persistência e capacidades de execução de comando.
“Uma vez que um alvo recebe um e-mail com o anexo malicioso do Excel de UNC4841, o e-mail é verificado pelo appliance Barracuda ESG, executando assim o código malicioso contido no arquivo Excel”, disse Austin Larsen, consultor sênior de resposta a incidentes da Mandiant, em uma declaração compartilhada com The Hacker News.
“Isso não requer nenhuma interação do usuário final, tornando-o altamente impactante e eficaz.”
A Barracuda afirmou que lançou uma atualização de segurança que foi "automaticamente aplicada" em 21 de dezembro de 2023, e que nenhuma ação adicional do cliente é necessária.
Ressaltou ainda que "implantou um patch para remediar os appliances ESG comprometidos que apresentavam indicadores de comprometimento relacionados às novas variantes de malware identificadas" um dia depois.
Não divulgou a escala do compromisso.
Dito isto, o defeito original no módulo Perl Spreadsheet::ParseExcel (versão 0.65) permanece sem correção e foi atribuído o identificador CVE
CVE-2023-7101
, exigindo que os usuários downstream tomem ação de remediação apropriada.
Segundo a Mandiant, que vem investigando a campanha, várias organizações do setor privado e público localizadas em pelo menos 16 países estão estimadas a ter sido impactadas desde outubro de 2022.
O Google Cloud disse que observou a exploração de
CVE-2023-7102
visando provedores de alta tecnologia, tecnologia da informação, e entidades governamentais, localizados principalmente nos EUA e regiões da Ásia-Pacífico, não antes de 30 de novembro de 2023.
O último desenvolvimento fala novamente sobre a adaptabilidade do UNC4841, aproveitando novas táticas e técnicas para manter acesso a alvos de alta prioridade à medida que as brechas existentes se fecham.
“Esta última campanha demonstra ainda mais a persistência deste ator da última campanha UNC4841”, disse Larsen.
“A Mandiant antecipa que este ator de ameaça possa ampliar sua superfície de ataque para outros appliances com uma variedade maior de exploits no futuro”.
(A história foi atualizada após a publicação para incluir comentários adicionais do Google Cloud e Mandiant na campanha).
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...