Ngày 31 tháng 5 năm 2023Ravie LakshmananAn ninh mạng / Zero Day
Công ty bảo mật doanh nghiệp Barracuda hôm thứ Ba đã tiết lộ rằng một lỗ hổng zero-day được vá gần đây trong các thiết bị Cổng bảo mật email (ESG) của họ đã bị các tác nhân đe dọa lạm dụng kể từ tháng 10 năm 2022 để mở cửa sau các thiết bị.
Những phát hiện mới nhất cho thấy lỗ hổng nghiêm trọng, được theo dõi là CVE-2023-2868 (điểm CVSS: N/A), đã bị khai thác tích cực trong ít nhất bảy tháng trước khi được phát hiện.
Lỗ hổng được Barracuda xác định vào ngày 19 tháng 5 năm 2023, ảnh hưởng đến các phiên bản 5.1.3.001 đến 9.2.0.006 và có thể cho phép kẻ tấn công từ xa thực hiện mã trên các bản cài đặt dễ bị tấn công. Các bản vá đã được Barracuda phát hành vào ngày 20 và 21 tháng 5.
“CVE-2023-2868 đã được sử dụng để có quyền truy cập trái phép vào một nhóm nhỏ các thiết bị ESG”, công ty bảo mật mạng và email cho biết trong một lời khuyên cập nhật.
“Phần mềm độc hại đã được xác định trên một nhóm nhỏ các thiết bị cho phép truy cập cửa hậu liên tục. Bằng chứng về việc đánh cắp dữ liệu đã được xác định trên một nhóm nhỏ các thiết bị bị ảnh hưởng.”
Ba chủng phần mềm độc hại khác nhau đã được phát hiện cho đến nay –
NƯỚC MUỐI – Một mô-đun bị trojan hóa cho daemon Barracuda SMTP (bsmtpd) được trang bị để tải lên hoặc tải xuống các tệp tùy ý, thực thi các lệnh, cũng như lưu lượng truy cập độc hại qua đường hầm và proxy để bay dưới radar.
SEASPY – Một cửa hậu x64 ELF cung cấp các khả năng bền bỉ và được kích hoạt bằng một gói ma thuật.
BÊN BIỂN – Một mô-đun dựa trên Lua dành cho bsmtpd thiết lập trình bao đảo ngược thông qua các lệnh SMTP HELO/EHLO được gửi qua máy chủ chỉ huy và kiểm soát (C2) của phần mềm độc hại.
Sự chồng chéo mã nguồn đã được xác định giữa SEASPY và một cửa hậu mã nguồn mở có tên là cd00r, theo Mandiant thuộc sở hữu của Google, cơ quan đang điều tra vụ việc. Các cuộc tấn công không được quy cho một tác nhân hoặc nhóm đe dọa đã biết.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào tuần trước cũng đã thêm lỗi này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) của mình, kêu gọi các cơ quan liên bang áp dụng các bản sửa lỗi trước ngày 16 tháng 6 năm 2023.
Barracuda không tiết lộ có bao nhiêu tổ chức đã bị vi phạm, nhưng lưu ý rằng họ đã được liên hệ trực tiếp với hướng dẫn giảm thiểu. Nó cũng cảnh báo rằng cuộc thăm dò đang diễn ra có thể khai quật thêm những người dùng có thể đã bị ảnh hưởng.