Raporlara göre bilgisayar korsanları, çok sayıda kötü amaçlı yazılım parçasıyla sayısız kuruluşu hedeflemek için birkaç aydır bir Barracuda Networks ürünündeki sıfırıncı gün güvenlik açığından yararlanıyor.
Şirket, Ekim 2022’den beri tehdit aktörleri tarafından kullanılan CVE-2023-2868 olarak izlenen kritik bir güvenlik açığını yamaladığını söyledi. Söz konusu e-posta yazılımının adı Barracuda Email Security Gateway (ESG), 5.1.3.001 ve 9.2.0.006 savunmasız olmak.
Şirketten yapılan açıklamada, “Cihazlarının etkilendiğine inandığımız kullanıcılar, ESG kullanıcı arabirimi aracılığıyla yapılacak işlemler konusunda bilgilendirildi” dedi. güvenlik danışmanlığı. “Barracuda bu belirli müşterilere de ulaştı. Soruşturma sırasında ek müşteriler belirlenebilir.”
Üç kötü amaçlı yazılım ailesi
Şimdiye kadar Barracuda, sıfır gün aracılığıyla dağıtılan üç kötü amaçlı yazılım ailesi tespit ettiğini söylüyor: Saltwater, Seaside ve Seaspy.
İlki, tehdit aktörlerinin diğer şeylerin yanı sıra dosya indirip yüklemesine ve komutları çalıştırmasına izin verir. Deniz kenarı kalıcı bir arka kapıdır, ikincisi ise bir ters kabuk oluşturmak için bir C2 IP adresi ve bağlantı noktası almak için kullanılır.
Kuruluşunuzun güvende olduğundan emin olmak için aşağıdakileri yapmalısınız:
- ESG cihazınızı güncelleyin ve düzenli olarak yamalı olduğundan emin olun
- Güvenliği ihlal edilmiş ESG cihazını kullanmayı bırakın
- Bağlı herhangi bir LDAP/AD, Barracuda Cloud Control, FTP Sunucusu, SMB ve tüm özel TLS sertifikaları dahil olmak üzere mümkün olan durumlarda ESG cihazı kimlik bilgilerini döndürün.
- Şirket ayrıca hedef alındıklarına inanan tüm müşterilerini [email protected] aracılığıyla desteğe ulaşmaya davet ediyor.
Son olarak, kuruluşlar ağ günlüklerini gözden geçirmeli ve güvenliği ihlal edilmiş veya bilinmeyen IP adreslerinin olası göstergelerini aramalıdır.
Ulusal Güvenlik Açığı Veritabanına göre kusur, cihazın .tar dosyalarının (teyp arşivleri) işlenmesini kapsamlı bir şekilde sterilize edememesi nedeniyle ortaya çıkan bir uzaktan komut enjeksiyonu güvenlik açığıdır. Başka bir deyişle, dosya adlarını belirli bir şekilde biçimlendirmek, saldırganların sistem komutlarını yürütmesine olanak tanır.