La Oficina Federal de Investigaciones (FBI) de EE. UU. advierte que los dispositivos Barracuda Networks Email Security Gateway (ESG) parcheados contra una falla crítica recientemente revelada continúan en riesgo de verse comprometidos por presuntos grupos de piratas informáticos chinos.
También consideró que las correcciones eran "ineficaces" y que "continúa observando intrusiones activas y considera que todos los dispositivos Barracuda ESG afectados están comprometidos y son vulnerables a este exploit".
Registrado como CVE-2023-2868 (puntuación CVSS: 9,8), se dice que el error de día cero se utilizó como arma ya en octubre de 2022, más de siete meses antes de que se tapara el agujero de seguridad. Mandiant, propiedad de Google, está rastreando el grupo de actividad del nexo con China bajo el nombre UNC4841 .
La vulnerabilidad de inyección remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.
En los ataques observados hasta ahora, una infracción exitosa actúa como un conducto para implementar múltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (también conocido como DEPTHCHARGE) que permiten la ejecución de comandos arbitrarios y evasión de defensa.
"Los actores cibernéticos utilizaron esta vulnerabilidad para insertar cargas útiles maliciosas en el dispositivo ESG con una variedad de capacidades que permitieron acceso persistente, escaneo de correo electrónico, recolección de credenciales y exfiltración de datos", dijo el FBI.
La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y hábil, demostrando talento para la sofisticación y adaptando rápidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su presencia en objetivos de alta prioridad.
La agencia federal recomienda a los clientes aislar y reemplazar todos los dispositivos ESG afectados con efecto inmediato y escanear las redes en busca de tráfico saliente sospechoso.
Actualizar
Cuando se le contactó para hacer comentarios, Barracuda Networks compartió la siguiente declaración con The Hacker News:
La orientación de Barracuda sigue siendo consistente para los clientes. Por precaución y para promover nuestra estrategia de contención, recomendamos a los clientes afectados que reemplacen su electrodoméstico comprometido. Si un cliente recibió la notificación de la interfaz de usuario o fue contactado por un representante de soporte técnico de Barracuda, el cliente debe comunicarse con support@barracuda[.]com para reemplazar el dispositivo ESG. Barracuda proporciona el producto de reemplazo a los clientes afectados sin costo alguno. Hemos notificado a los clientes afectados por este incidente. Si un dispositivo ESG muestra una notificación en la interfaz de usuario, el dispositivo ESG tenía indicadores de compromiso. Si no se muestra ninguna notificación, no tenemos motivos para creer que el dispositivo se haya visto comprometido en este momento. Nuevamente, este incidente solo afectó a un subconjunto de electrodomésticos ESG.
