Puertas de enlace de correo electrónico de Barracuda siguen siendo vulnerables

La Oficina Federal de Investigaciones (FBI) de Estados Unidos advierte que los dispositivos Email Security Gateway (ESG) de Barracuda Networks parcheados contra una falla crítica recientemente revelada continúan en riesgo de un posible compromiso por parte de presuntos grupos de piratería chinos.

También consideró las correcciones como "ineficaces" y que "continúa observando intrusiones activas y considera que todos los dispositivos Barracuda ESG afectados están comprometidos y son vulnerables a este exploit".

Rastreado como CVE-2023-2868 (puntuación CVSS: 9.8 ), se dice que el error de día cero se armó ya en octubre de 2022, más de siete meses antes de que se tapara el agujero de seguridad. Mandiant, propiedad de Google, está rastreando el clúster de actividad del nexo entre China bajo el nombre UNC4841.

La vulnerabilidad de inyección remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.

En los ataques observados hasta ahora, una violación exitosa actúa como un conducto para desplegar múltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (también conocido como DEPTHCHARGE) que permiten la ejecución de comandos arbitrarios y la evasión de defensa.


"Los actores cibernéticos utilizaron esta vulnerabilidad para insertar cargas maliciosas en el dispositivo ESG con una variedad de capacidades que permitieron el acceso persistente, el escaneo de correo electrónico, la recolección de credenciales y la exfiltración de datos", dijo el FBI.

La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y hábil, demostrando un don para la sofisticación y adaptando rápidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su punto de apoyo en objetivos de alta prioridad.

La agencia federal recomienda a los clientes que aíslen y reemplacen todos los dispositivos ESG afectados con efecto inmediato, y escaneen las redes en busca de tráfico saliente sospechoso.

Actualizar

Cuando se contactó para hacer comentarios, Barracuda Networks compartió la siguiente declaración con The Hacker News:

La orientación de Barracuda sigue siendo consistente para los clientes. Por precaución y para promover nuestra estrategia de contención, recomendamos que los clientes afectados reemplacen su electrodoméstico comprometido. Si un cliente recibió la notificación de la interfaz de usuario o ha sido contactado por un representante de soporte técnico de Barracuda, el cliente debe comunicarse con support@barracuda[.] com para reemplazar el dispositivo ESG. Barracuda está proporcionando el producto de reemplazo a los clientes afectados sin costo alguno.

Hemos notificado a los clientes afectados por este incidente. Si un dispositivo ESG muestra una notificación en la interfaz de usuario, el dispositivo ESG tenía indicadores de compromiso. Si no se muestra ninguna notificación, no tenemos ninguna razón para creer que el dispositivo se haya visto comprometido en este momento. Una vez más, solo un subconjunto de dispositivos ESG se vio afectado por este incidente.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta