Barracuda tiene reveló que los actores de amenazas chinos explotaron un nuevo día cero en sus dispositivos Email Security Gateway (ESG) para implementar una puerta trasera en un «número limitado» de dispositivos.
Seguimiento como CVE-2023-7102el asunto se relaciona con un caso de ejecución de código arbitrario que reside dentro de una biblioteca de terceros y de código abierto Spreadsheet::ParseExcel que utiliza el escáner Amavis dentro de la puerta de enlace.
La compañía atribuyó la actividad a un actor de amenazas rastreado por Mandiant, propiedad de Google, como UNC4841que anteriormente estaba vinculado a la explotación activa de otro día cero en dispositivos Barracuda (CVE-2023-2868, puntuación CVSS: 9,8) a principios de este año.
La explotación exitosa de la nueva falla se logra mediante un archivo adjunto de correo electrónico de Microsoft Excel especialmente diseñado. A esto le sigue el despliegue de nuevas variantes de implantes conocidos llamados SEASPY y SALTWATER que están equipados para ofrecer capacidades de persistencia y ejecución de comandos.
Barracuda dijo que lanzó una actualización de seguridad que se «aplicó automáticamente» el 21 de diciembre de 2023 y que no se requiere ninguna otra acción por parte del cliente.
Además, señaló que «implementó un parche para remediar los dispositivos ESG comprometidos que mostraban indicadores de compromiso relacionados con las variantes de malware recientemente identificadas» un día después. No reveló la escala del compromiso.
Dicho esto, la falla original en el módulo Spreadsheet::ParseExcel Perl (versión 0.65) permanece sin parchear y se le ha asignado el identificador CVE. CVE-2023-7101lo que exige que los usuarios intermedios adopten las medidas correctoras adecuadas.
Según Mandiant, que ha estado investigando la campaña, se estima que varias organizaciones del sector público y privado ubicadas en al menos 16 países se han visto afectadas desde octubre de 2022.
El último desarrollo habla una vez más de la adaptabilidad de UNC4841, aprovechando nuevas tácticas y técnicas para retener el acceso a objetivos de alta prioridad a medida que se cierran las lagunas existentes.