Το FBI προειδοποιεί ότι οι συσκευές Barracuda ESG εξακολουθούν να παραβιάζονται

Το Ομοσπονδιακό Γραφείο Ερευνών προειδοποίησε ότι οι ενημερώσεις κώδικα για ένα κρίσιμο ελάττωμα έγχυσης απομακρυσμένων εντολών της πύλης ασφαλείας email Barracuda (ESG) είναι “αναποτελεσματικές” και οι επιδιορθωμένες

συσκευές

εξακολουθούν να παραβιάζονται σε συνεχείς επιθέσεις.

Παρακολούθηση

ως CVE-2023-2868, η ευπάθεια αξιοποιήθηκε για πρώτη φορά τον Οκτώβριο του 2022 για να παρακάμψει συσκευές ESG και να κλέψει δεδομένα από τα παραβιασμένα συστήματα.

Οι εισβολείς ανέπτυξαν προηγουμένως άγνωστο κακόβουλο λογισμικό, το SeaSpy και το Saltwater, και ένα κακόβουλο εργαλείο, το SeaSide, για να δημιουργήσουν αντίστροφα κελύφη για απομακρυσμένη πρόσβαση.

Η

CISA

μοιράστηκε έκτοτε περισσότερες λεπτομέρειες σχετικά με το κακόβουλο λογισμικό Submariner και Whirlpool που αναπτύχθηκε στις ίδιες επιθέσεις. Η αμερικανική υπηρεσία κυβερνοασφάλειας πρόσθεσε επίσης το σφάλμα στον κατάλογό της με σφάλματα που εκμεταλλεύονται ενεργά στη φύση στις 27 Μαΐου, προειδοποιώντας τις ομοσπονδιακές υπηρεσίες να ελέγχουν τα δίκτυά τους για στοιχεία παραβιάσεων.

Παρόλο που το Barracuda επιδιορθώνει όλες τις συσκευές εξ αποστάσεως και απέκλεισε την πρόσβαση των εισβολέων στις παραβιασμένες συσκευές στις 20 Μαΐου, μία ημέρα μετά τον εντοπισμό του σφάλματος, προειδοποίησε επίσης όλους τους πελάτες στις 7 Ιουνίου ότι πρέπει να αντικαταστήσουν αμέσως όλες τις επηρεαζόμενες συσκευές, πιθανόν επειδή δεν μπόρεσε να διασφαλίσει την πλήρη αφαίρεση του κακόβουλου λογισμικού που αναπτύσσεται στις επιθέσεις.

Η Mandiant συνέδεσε αργότερα την εκστρατεία κλοπής δεδομένων που στόχευε τις συσκευές Barracuda ESG που χρησιμοποιούν εκμεταλλεύσεις CVE-2023-2868 με την ομάδα απειλών UNC4841, η οποία περιγράφεται ως ύποπτη ομάδα hacking υπέρ της Κίνας.

Το FBI προειδοποιεί επίσης τους πελάτες του Barracuda να αντικαταστήσουν τις συσκευές

Το FBI ενίσχυσε τώρα την προειδοποίηση του Barracuda προς τους πελάτες ότι θα πρέπει να απομονώσουν και να αντικαταστήσουν επειγόντως τις παραβιασμένες συσκευές, λέγοντας ότι οι Κινέζοι χάκερ εξακολουθούν να εκμεταλλεύονται ενεργά την ευπάθεια και ακόμη και οι επιδιορθωμένες συσκευές κινδυνεύουν να παραβιαστούν λόγω των «αναποτελεσματικών» ενημερώσεων κώδικα.

“Το FBI συμβουλεύει σθεναρά όλες τις επηρεαζόμενες συσκευές ESG να απομονωθούν και να αντικατασταθούν αμέσως και όλα τα δίκτυα να σαρωθούν για συνδέσεις με την παρεχόμενη λίστα δεικτών συμβιβασμού αμέσως”, η ομοσπονδιακή υπηρεσία επιβολής του νόμου

προειδοποίησε

[PDF] σε αστραπιαία ειδοποίηση που εκδόθηκε την Τετάρτη.

“Οι ενημερώσεις κώδικα που κυκλοφόρησε ο Barracuda ως απάντηση σε αυτό το CVE ήταν αναποτελεσματικές. Το FBI συνεχίζει να παρατηρεί ενεργές εισβολές και θεωρεί ότι όλες οι επηρεαζόμενες συσκευές Barracuda ESG είναι παραβιασμένες και ευάλωτες σε αυτήν την εκμετάλλευση.

«Το FBI επαλήθευσε ανεξάρτητα ότι όλες οι συσκευές ESG που έχουν εκμεταλλευτεί, ακόμη και εκείνες με μπαλώματα που προωθούνται από τον Barracuda, εξακολουθούν να διατρέχουν κίνδυνο για συνεχή παραβίαση του δικτύου υπολογιστών από ύποπτους

κυβερνοχώρο

υς της ΛΔΚ που εκμεταλλεύονται αυτήν την ευπάθεια».

Επιπλέον, η υπηρεσία συμβούλεψε τους πελάτες της Barracuda να διερευνήσουν τα δίκτυά τους για πιθανές πρόσθετες παραβιάσεις, σαρώνοντας για εξερχόμενες συνδέσεις σε IP στη λίστα δεικτών συμβιβασμού (IOC) που κοινοποιούνται στην συμβουλευτική.

Όσοι χρησιμοποίησαν προνομιακά διαπιστευτήρια με τις συσκευές Barracuda (π.χ. Active Directory Domain Admin) κλήθηκαν επίσης να τα ανακαλέσουν και να τα περιστρέψουν για να αποτρέψουν τις προσπάθειες των εισβολέων να διατηρήσουν τη διατήρηση του δικτύου.

Η Barracuda λέει ότι τα

προϊόντα

ασφαλείας της χρησιμοποιούνται από περισσότερους από 200.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων εταιρειών υψηλού προφίλ όπως η Samsung, η Delta Airlines, η Mitsubishi και η Kraft Heinz.