Το FBI προειδοποιεί για τον κίνδυνο χάκερ να εξακολουθούν να επιτίθενται σε Barracuda ESG appliances που έχουν ενημερωθεί.
Δείτε επίσης: Discord: Ενημερώνει χρήστες που επηρεάστηκαν από προηγούμενη παραβίαση δεδομένων
Το Federal Bureau of Investigation προειδοποίησε ότι οι ενημερώσεις για μια κρίσιμη ευπάθεια remote command injection στο Barracuda Email Security Gateway (ESG) είναι “αναποτελεσματικές” και ότι τα patched appliances (αναβαθμισμένες συσκεύες) συνεχίζουν να παραβιάζονται σε επιθέσεις.
Καταγεγραμμένη ως CVE-2023-2868, η ευπάθεια εκμεταλλεύτηκε για πρώτη φορά τον Οκτώβριο του 2022 για να εισαγάγει backdoor σε συσκευές ESG και να κλέψει δεδομένα από τα παραβιασμένα συστήματα.
Οι επιτιθέμενοι χρησιμοποίησαν προηγουμένως άγνωστο κακόβουλο λογισμικό, το SeaSpy και το Saltwater, καθώς και ένα κακόβουλο εργαλείο, το SeaSide, για να εγκαταστήσουν reverse shells για απομακρυσμένη πρόσβαση.
Η CISA ανακοίνωσε αργότερα περαιτέρω λεπτομέρειες για τα κακόβουλα λογισμικά Submariner και Whirlpool που χρησιμοποιήθηκαν στις ίδιες επιθέσεις. Η κυβερνοασφάλεια των HΠΑ πρόσθεσε επίσης αυτό το σφάλμα στον κατάλογό της με τα ενεργά εκμεταλλευόμενα σφάλματα στο περιβάλλον του διαδικτύου στις 27 Μαΐου, προειδοποιώντας τις ομοσπονδιακές αρχές να ελέγξουν τα δίκτυά τους για αποδείξεις παραβίασης.
Δείτε επίσης: Εντοπίστηκε το νέο malware Whiffy Recon: Ποια τα χαρακτηριστικά του;
Παρόλο που η Barracuda επιδιόρθωσε όλες τις συσκευές και έκλεισε την πρόσβαση των επιτιθέμενων στις παραβιασμένες συσκευές στις 20 Μαΐου, μία μέρα μετά τον εντοπισμό του σφάλματος, στις 7 Ιουνίου προειδοποίησε όλους τους πελάτες ότι πρέπει να αντικαταστήσουν αμέσως όλες τις επηρεασμένες συσκευές, πιθανώς επειδή δεν μπορούσε να εγγυηθεί την πλήρη απομάκρυνση του κακόβουλου λογισμικού που χρησιμοποιήθηκε στις επιθέσεις.
Αργότερα, η Mandiant συνέδεσε την εκστρατεία κλοπής δεδομένων που στόχευε στις συσκευές Barracuda ESG και χρησιμοποιούσε CVE-2023-2868 exploits με την ομάδα UNC4841, που περιγράφεται ως υποψία περιβάλλον hacking προς όφελος της Κίνας.
Δείτε επίσης: Η Metro Bank κρούει τον κώδωνα του κινδύνου για αύξηση επιθέσεων malware
Το FBI προειδοποιεί επίσης τους πελάτες της Barracuda να αντικαταστήσουν τα appliances
Το FBI ενισχύει την προειδοποίηση της Barracuda προς τους πελάτες ότι θα πρέπει να απομονώσουν και να αντικαταστήσουν επειγόντως τις χακαρισμένες συσκευές, διότι οι κινέζοι χάκερ εξακολουθούν να εκμεταλλεύονται ενεργά την ευπάθεια και ακόμη και οι συσκευές με ενημερωμένο λογισμικό είναι εκτεθειμένες σε κίνδυνο λόγω “ανεπαρκούς” επιδιόρθωσης.
Επιπλέον, η εταιρεία συνιστά στους πελάτες της Barracuda να ερευνήσουν τα δίκτυά τους για πιθανές επιπλέον παραβιάσεις, αναζητώντας εξερχόμενες συνδέσεις προς διευθύνσεις IP που περιλαμβάνονται στη λίστα των δεικτών παραβίασης (IOCs) που κοινοποιήθηκε στο advisory.
Οι χρήστες που χρησιμοποίησαν προνομιούχες διαπιστευτήριες επιχειρήσεων με τις συσκευές Barracuda (π.χ. Active Directory Domain Admin) επισημάνθηκε επίσης να τις ανακαλέσουν και να τις ανανεώσουν για να αποτρέψουν τις προσπάθειες των επιτιθέμενων να διατηρήσουν network persistence.
Η Barracuda αναφέρει ότι τα προϊόντα της ασφαλείας χρησιμοποιούνται από πάνω από 200.000 οργανισμούς παγκοσμίως, συμπεριλαμβανομένων γνωστών εταιρειών όπως η Samsung, η Delta Airlines, η Mitsubishi και η Kraft Heinz.
Πηγή πληροφοριών: bleepingcomputer.com
