Barracuda’da var açıklığa kavuşmuş Çinli tehdit aktörlerinin, “sınırlı sayıda” cihaza arka kapı dağıtmak için E-posta Güvenliği Ağ Geçidi (ESG) cihazlarında yeni bir sıfır gün özelliğinden yararlandığı belirtildi.
Şu şekilde izlendi: CVE-2023-7102konu bir vakayla ilgilidir keyfi kod yürütme Amavis tarayıcısı tarafından ağ geçidinde kullanılan, üçüncü taraf ve açık kaynaklı bir kitaplık Spreadsheet::ParseExcel’de bulunan.
Şirket, etkinliği Google’ın sahibi olduğu Mandiant tarafından takip edilen bir tehdit aktörüne bağladı: UNC4841Bu, daha önce bu yılın başlarında Barracuda cihazlarında başka bir sıfır günün (CVE-2023-2868, CVSS puanı: 9,8) aktif olarak kullanılmasıyla bağlantılıydı.
Yeni kusurdan başarıyla yararlanılması, özel hazırlanmış bir Microsoft Excel e-posta eki aracılığıyla gerçekleştirilir. Bunu, SEASPY ve TUZLU SU adı verilen ve kalıcılık ve komut yürütme yetenekleri sunacak şekilde donatılmış, bilinen implantların yeni çeşitlerinin konuşlandırılması takip ediyor.
Barracuda, 21 Aralık 2023’te “otomatik olarak uygulanan” bir güvenlik güncellemesi yayınladığını ve müşterinin başka bir işlem yapmasına gerek olmadığını söyledi.
Ayrıca, bir gün sonra “yeni tanımlanan kötü amaçlı yazılım varyantlarıyla ilgili risk göstergeleri sergileyen, güvenliği ihlal edilmiş ESG cihazlarını düzeltmek için bir yama dağıttığını” belirtti. Uzlaşmanın boyutunu açıklamadı.
Bununla birlikte, Spreadsheet::ParseExcel Perl modülündeki (sürüm 0.65) orijinal kusur yamalı olarak kalıyor ve CVE tanımlayıcısı atanıyor CVE-2023-7101alt kullanıcıların uygun düzeltici önlemleri almasını gerektirir.
Kampanyayı araştıran Mandiant’a göre, en az 16 ülkede bulunan çok sayıda özel ve kamu sektörü kuruluşunun Ekim 2022’den bu yana etkilendiği tahmin ediliyor.
En son gelişme, mevcut boşluklar kapandıkça yüksek öncelikli hedeflere erişimi sürdürmek için yeni taktik ve tekniklerden yararlanarak UNC4841’in uyarlanabilirliğini bir kez daha ortaya koyuyor.