Le Federal Bureau of Investigation (FBI) des États-Unis prévient que les appliances Barracuda Networks Email Security Gateway (ESG) corrigées contre une faille critique récemment révélée continuent de courir le risque d’être compromises par des groupes de pirates informatiques chinois présumés.
Ça aussi jugé les correctifs comme « inefficaces » et qu’il « continue d’observer des intrusions actives et considère que toutes les appliances Barracuda ESG concernées sont compromises et vulnérables à cet exploit ».
Suivi comme CVE-2023-2868 (score CVSS : 9,8), le bug zero-day aurait été utilisé comme arme dès octobre 2022, plus de sept mois avant que la faille de sécurité ne soit comblée. Mandiant, propriété de Google, suit le cluster d’activités liés à la Chine sous le nom UNC4841.
La vulnérabilité d’injection de commandes à distance, affectant les versions 5.1.3.001 à 9.2.0.006, permet l’exécution non autorisée de commandes système avec des privilèges d’administrateur sur le produit ESG.
Dans les attaques observées jusqu’à présent, une violation réussie sert de canal pour déployer plusieurs souches de logiciels malveillants telles que SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL et SUBMARINE (alias DEPTHCHARGE) qui permettent l’exécution de commandes arbitraires et évasion de la défense.
« Les cyber-acteurs ont utilisé cette vulnérabilité pour insérer des charges utiles malveillantes dans l’appliance ESG avec diverses fonctionnalités permettant un accès persistant, l’analyse des e-mails, la collecte d’informations d’identification et l’exfiltration de données », a déclaré le FBI.
La société de renseignement sur les menaces a caractérisé l’UNC4841 comme étant à la fois agressif et compétent, démontrant un sens de la sophistication et adaptant rapidement ses outils personnalisés pour utiliser des mécanismes de persistance supplémentaires et maintenir son emprise sur des cibles hautement prioritaires.
L’agence fédérale recommande aux clients d’isoler et de remplacer immédiatement tous les appareils ESG concernés, et d’analyser les réseaux à la recherche de trafic sortant suspect.