Barracuda a révélé que les acteurs chinois de la menace ont exploité un nouveau zero-day dans ses appliances Email Security Gateway (ESG) pour déployer une porte dérobée sur un « nombre limité » d’appareils.
Suivi comme CVE-2023-7102le problème concerne un cas de exécution de code arbitraire qui réside dans une bibliothèque tierce et open source Spreadsheet::ParseExcel utilisée par le scanner Amavis au sein de la passerelle.
La société a attribué l’activité à un acteur menaçant suivi par Mandiant, propriété de Google, comme UNC4841qui était auparavant lié à l’exploitation active d’un autre jour zéro dans les appareils Barracuda (CVE-2023-2868, score CVSS : 9,8) plus tôt cette année.
L’exploitation réussie de la nouvelle faille est réalisée au moyen d’une pièce jointe spécialement conçue à un e-mail Microsoft Excel. Ceci est suivi par le déploiement de nouvelles variantes d’implants connus appelés SEASPY et SALTWATER, équipés pour offrir des capacités de persistance et d’exécution de commandes.
Barracuda a déclaré avoir publié une mise à jour de sécurité qui a été « automatiquement appliquée » le 21 décembre 2023 et qu’aucune autre action du client n’est requise.
Il a en outre souligné qu’il « avait déployé un correctif pour corriger les appareils ESG compromis qui présentaient des indicateurs de compromission liés aux variantes de logiciels malveillants nouvellement identifiées » un jour plus tard. L’ampleur du compromis n’a pas été divulguée.
Cela dit, la faille d’origine du module Spreadsheet::ParseExcel Perl (version 0.65) reste non corrigée et s’est vu attribuer l’identifiant CVE. CVE-2023-7101ce qui nécessite que les utilisateurs en aval prennent les mesures correctives appropriées.
Selon Mandiant, qui a enquêté sur la campagne, on estime qu’un certain nombre d’organisations des secteurs privé et public situées dans au moins 16 pays ont été touchées depuis octobre 2022.
Le dernier développement témoigne une fois de plus de l’adaptabilité de l’UNC4841, tirant parti de nouvelles tactiques et techniques pour conserver l’accès aux cibles hautement prioritaires à mesure que les failles existantes sont comblées.