Barracuda networks invita alla sostituzione degli apparati ESG compromessi

Barracuda Networks ha esortato i propri clienti a sostituire prontamente i loro apparati Email Security Gateway (ESG) compromessi, indipendentemente dall'installazione di tutte le patch disponibili. La società ha individuato attacchi mirati ai suoi apparati ESG il 18 maggio. Nel giro di un giorno, ha scoperto che gli attacchi sfruttavano una vulnerabilità di zero-day (CVE-2023-2868), dando immediatamente avvio alla preparazione di patch e script per arginare l'attacco, che ha poi rilasciato poco dopo.

Le prime contromisure

Le raccomandazioni iniziali di Barracuda per i clienti colpiti includevano l'assicurazione che i loro dispositivi avessero ricevuto tutti gli aggiornamenti, le definizioni e le patch di sicurezza. Contemporaneamente, l'azienda ha istruito i clienti a sospendere l'uso dei dispositivi compromessi e a contattare il suo team di supporto per ricevere un nuovo apparato ESG.

Ulteriori azioni richieste

Il 6 giugno, Barracuda ha rilasciato un 'avviso di azione' esortando i clienti colpiti a sostituire immediatamente i loro apparati, a prescindere dal loro livello di patch. Questo suggerisce che gli aggiornamenti potrebbero non essere completamente efficaci nel risolvere i sistemi violati. "Se non avete sostituito il vostro apparato dopo aver ricevuto un avviso nel vostro UI, contattate ora il supporto", ha affermato Barracuda, raccomandando come rimedio in questo momento la sostituzione completa dell'ESG compromesso.

Dettagli dell'indagine sulla vulnerabilità

L'indagine di Barracuda, condotta con l'assistenza di Mandiant, ha rivelato che la vulnerabilità è stata sfruttata almeno dal mese di ottobre 2022. Il CVE-2023-2868 è un problema di iniezione di comandi remoti che colpisce un modulo progettato per lo screening iniziale degli allegati e-mail. Le informazioni condivise finora dalla società indicano che gli attori minacciosi hanno inviato malware ad un sottoinsieme di apparati e lo hanno utilizzato per esfiltrare dati. Tre tipi di malware sono stati scoperti sugli apparati Barracuda violati, denominati SaltWater, SeaSpy e SeaSide. SaltWater consente agli aggressori di caricare e scaricare file, eseguire comandi arbitrari e utilizzarlo per scopi di proxy o tunneling. SeaSpy fornisce una funzionalità di backdoor, mentre SeaSide viene utilizzato per ricevere informazioni di comando e controllo (C&C) e per stabilire una shell inversa. Barracuda ha condiviso gli indicatori di compromissione (IoC) per gli endpoint e le reti, insieme alle regole Yara utilizzabili per la caccia alle minacce.