La Oficina Federal de Investigaciones (FBI) de EE. UU. advierte que los dispositivos Barracuda Networks Email Security Gateway (ESG) parcheados contra una falla crítica recientemente revelada continúan en riesgo de verse comprometidos por presuntos grupos de piratas informáticos chinos.
También considerado las correcciones son «ineficaces» y que «continúa observando intrusiones activas y considera que todos los dispositivos Barracuda ESG afectados están comprometidos y son vulnerables a este exploit».
Registrado como CVE-2023-2868 (puntuación CVSS: 9,8), se dice que el error de día cero se utilizó como arma ya en octubre de 2022, más de siete meses antes de que se tapara el agujero de seguridad. Mandiant, propiedad de Google, está rastreando el grupo de actividad del nexo con China bajo el nombre UNC4841.
La vulnerabilidad de inyección remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.
En los ataques observados hasta ahora, una infracción exitosa actúa como un conducto para implementar múltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (también conocido como DEPTHCHARGE) que permiten la ejecución de comandos arbitrarios y evasión de defensa.
«Los actores cibernéticos utilizaron esta vulnerabilidad para insertar cargas útiles maliciosas en el dispositivo ESG con una variedad de capacidades que permitieron acceso persistente, escaneo de correo electrónico, recolección de credenciales y exfiltración de datos», dijo el FBI.
La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y hábil, demostrando talento para la sofisticación y adaptando rápidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su presencia en objetivos de alta prioridad.
La agencia federal recomienda a los clientes aislar y reemplazar todos los dispositivos ESG afectados con efecto inmediato y escanear las redes en busca de tráfico saliente sospechoso.