Af Eskil Sørensen, 25/08/23
Sikkerhedsvirksomheden Barracuda opfordrer sine kunder, der blev ramt af en nyligt afsløret 0-dagssårbarhed i deres Email Security Gateway (ESG)-apparater, til straks at at erstatte dem.
Det fremgår af en artikel i The Hacker News, der henviser til en update fra Barracuda.
Baggrunden for opfordringen skyldes en kritisk sårbarhed, der havde været udnyttet i flere måneder, da den blev opdaget. Sårbarheden har id-nummeret CVE-2023-2868 og en score på 9,8. Udnyttelsen har gjort det muligt for trusselsaktører at levere malware og stjæle data. Der er ifølge The Hacker News indtil nu opdaget tre forskellige malware-familier, som ’tilbyder’ upload eller download af vilkårlige filer, afvikling af kommandoer, opsætning af persistens og etablering af ’reverse shells’ ud til en server, der er styret eksternt af en trusselsaktør.
Selve sårbarheden er en remote code execution, der påvirker version 5.1.3.001 til 9.2.0.006. Sårbarheden skyldes en ufuldstændig validering af vedhæftede filer, som er indeholdt i indgående e-mails. Det blev behandlet den 20. maj og 21. maj 2023.
DKCERT beskrev sårbarheden første gang den 1. juni og anden gang i slutningen af juni, da det blev kendt, at udnyttelsen var knyttet til en kinesisk APT-gruppe.
The Hacker News spekulerer i, at årsagen til udmeldingen sandsynligvis er en indikation af, at trusselsaktørerne bag kampagnen har formået at manipulere med firmwaren i en sådan grad, at et patch ikke kan håndtere rettelsen tilstrækkeligt.
Links:
https://thehackernews.com/2023/06/barracuda-urges-immediate-replacement.html
https://www.barracuda.com/company/legal/esg-vulnerability
https://cert.dk/da/news/2023-06-01/Barracuda-0-dagssaarbarhed-udnyttet-i-otte-maaneder
https://cert.dk/da/news/2023-06-19/Barracuda-ESG-0-dag-knyttet-til-ny-ki...