Специалисты Федерального бюро расследований предупредили, что патчи для критической уязвимости в Barracuda Email Security Gateway (ESG) «неэффективны». Дело в том, что даже пропатченные устройства все еще подвергаются атакам и взлому.
Речь идет об уязвимости CVE-2023-2868 (9,8 балла по шкале CVSS), информация о которой появилась в середине мая текущего года, а эксплуатация бага началась еще осенью 2022 года. Тогда сообщалось, что проблема затрагивает версии с 5.1.3.001 по 9.2.0.006 и позволяет удаленному злоумышленнику выполнить произвольный код.
Весной эксперты писали, что с эксплуатацией уязвимости связаны три образца малвари:
- SALTWATER — троянизированный модуль для демона Barracuda SMTP (bsmtpd), способный загружать и скачивать произвольные файлы, выполнять команды, а также проксировать и туннелировать вредоносный трафик для большей скрытности;
- SEASPY — бэкдор в формате ELF x64, способный закрепиться в системе и активируемый с помощью magic-пакета;
- SEASIDE — модуль на основе Lua для bsmtpd, устанавливающий реверс-шеллы посредством команд SMTP HELO/EHLO, получаемых через C&C-сервер вредоносной программы.
Позже стало известно, что в атаках также использовались вредоносы Submariner и Whirlpool. В итоге Агентство кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость в свой каталог активно эксплуатируемых, предупредив федеральные ведомства о необходимости проверить свои сети на предмет нарушений.
Хотя 0-day уязвимость была исправлена, летом 2023 года производитель неожиданно заявил, что клиентам следует немедленно прекратить использование взломанных Email Security Gateway и заменить их, даже если они получили патчи.
В компании не сообщали, что послужило причиной для такого заявления и радикальных мер. Предполагалось, что злоумышленникам, стоящим за недавно обнаруженными атаками, удалось внедриться в прошивку ESG на более глубоком уровне, и патчи попросту не смогли полностью устранить угрозу.
Теперь к предупреждениям присоединилось и ФБР. Правоохранители пишут, что клиенты Barracuda должны срочно изолировать и заменить взломанные устройства. Дело в том, что китайские хакеры все еще активно атакуют уязвимость, и даже пропатченные устройства подвергаются риску компрометации, так как исправления «неэффективны».
«ФБР настоятельно рекомендует немедленно изолировать и заменить все затронутые проблемой устройства ESG, а также немедленно просканировать все сети на наличие соединений, соответствующих предоставленному списку индикаторов компрометации, — предупреждают специалисты ФБР. — Патчи, выпущенные компанией Barracuda в ответ на эту CVE, оказались неэффективными. ФБР продолжает наблюдать активные взломы и считает, что все затронутые устройства Barracuda ESG скомпрометированы и уязвимы для данного эксплоита».
Также отмечается, что ФБР провело собственную независимую проверку, которая показала, что даже ESG с установленными патчами «по-прежнему подвержены риску продолжающихся атак на компьютерные сети со стороны предполагаемых киберпреступников из КНР, использующих данную уязвимость».
Всем, кто использует корпоративные привилегированные учетные данные на устройствах Barracuda (например, Active Directory Domain Admin), рекомендуется отозвать и немедленно сменить их, чтобы злоумышленники не смогли закрепиться в сети.