La société de sécurité d’entreprise Barracuda a révélé mardi qu’une faille zero-day récemment corrigée dans ses appliances ESG (Email Security Gateway) avait été abusée par des acteurs de la menace depuis octobre 2022 pour détourner les appareils.
Le dernier résultats montrent que la vulnérabilité critique, suivie comme CVE-2023-2868 (score CVSS : N/A), a été activement exploité pendant au moins sept mois avant sa découverte.
La faille, identifiée par Barracuda le 19 mai 2023, affecte les versions 5.1.3.001 à 9.2.0.006 et pourrait permettre à un attaquant distant d’exécuter du code sur des installations sensibles. Des correctifs ont été publiés par Barracuda les 20 et 21 mai.
« CVE-2023-2868 a été utilisé pour obtenir un accès non autorisé à un sous-ensemble d’appliances ESG », a déclaré la société de sécurité des réseaux et des e-mails. a dit dans un avis mis à jour.
« Des logiciels malveillants ont été identifiés sur un sous-ensemble d’appareils permettant un accès par porte dérobée persistant. Des preuves d’exfiltration de données ont été identifiées sur un sous-ensemble d’appareils concernés.
Trois souches de logiciels malveillants différentes ont été découvertes à ce jour –
- EAU SALÉE – Un module cheval de Troie pour le démon Barracuda SMTP (bsmtpd) qui est équipé pour télécharger ou télécharger des fichiers arbitraires, exécuter des commandes, ainsi que le trafic malveillant par proxy et tunneling pour voler sous le radar.
- MER – Une porte dérobée x64 ELF qui offre des capacités de persistance et est activée au moyen d’un paquet magique.
- BORD DE MER – Un module basé sur Lua pour bsmtpd établit des shells inversés via des commandes SMTP HELO/EHLO envoyées via le serveur de commande et de contrôle (C2) du logiciel malveillant.
Des chevauchements de code source ont été identifiés entre SEASPY et cd00r, selon Mandiant, propriété de Google, qui enquête sur l’incident. Les attaques n’ont pas été attribuées à un acteur ou à un groupe menaçant connu.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
La semaine dernière, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a également ajouté le bogue à son catalogue de vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à appliquer les correctifs d’ici le 16 juin 2023.
Barracuda n’a pas révélé le nombre d’organisations violées, mais a noté qu’elles avaient été directement contactées avec des conseils d’atténuation. Il a également averti que la sonde en cours pourrait découvrir d’autres utilisateurs.