La firma de seguridad empresarial Barracuda reveló el martes que los actores de amenazas habían abusado de una falla de día cero recientemente parcheada en sus dispositivos Email Security Gateway (ESG) desde octubre de 2022 para hacer una puerta trasera en los dispositivos.
Lo último recomendaciones muestran que la vulnerabilidad crítica, rastreada como CVE-2023-2868 (puntuación CVSS: N/A), se ha explotado activamente durante al menos siete meses antes de su descubrimiento.
La falla, que Barracuda identificó el 19 de mayo de 2023, afecta las versiones 5.1.3.001 a 9.2.0.006 y podría permitir que un atacante remoto logre la ejecución de código en instalaciones susceptibles. Barracuda lanzó parches el 20 y 21 de mayo.
«CVE-2023-2868 se utilizó para obtener acceso no autorizado a un subconjunto de dispositivos ESG», la empresa de seguridad de redes y correo electrónico dicho en un aviso actualizado.
«Se identificó malware en un subconjunto de dispositivos que permite el acceso persistente de puerta trasera. Se identificó evidencia de exfiltración de datos en un subconjunto de dispositivos afectados».
Hasta la fecha se han descubierto tres cepas de malware diferentes:
- AGUA SALADA – Un módulo troyano para el demonio SMTP de Barracuda (bsmtpd) que está equipado para cargar o descargar archivos arbitrarios, ejecutar comandos, así como tráfico malicioso de proxy y tunelización para pasar desapercibido.
- SEASPY – Un backdoor ELF x64 que ofrece capacidades de persistencia y se activa mediante un paquete mágico.
- PLAYA – Un módulo basado en Lua para bsmtpd establece shells inversos a través de comandos SMTP HELO/EHLO enviados a través del servidor de comando y control (C2) del malware.
Se han identificado superposiciones de código fuente entre SEASPY y cd00r, según Mandiant, propiedad de Google, que está investigando el incidente. Los ataques no se han atribuido a un actor o grupo de amenazas conocido.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la semana pasada, también agregó el error a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), instando a las agencias federales a aplicar las correcciones antes del 16 de junio de 2023.
Barracuda no reveló cuántas organizaciones fueron violadas, pero señaló que fueron contactadas directamente con orientación de mitigación. También advirtió que la investigación en curso puede descubrir usuarios adicionales.