Barracuda Networks после масштабной атаки на IT-инфраструктуру компании и клиентов с использованием хакерами уязвимости нулевого дня порекомендовала своим клиентам физически заменить все взломанные или подверженные заражению сетевые устройства безопасности корпоративного уровня Email Security Gateway (ESG). Ранее выпущенные обновления прошивки для этих защитных систем не помогают полностью избежать заражения или удалить зловредный код с устройства.
Barracuda Email Security Gateway — шлюз безопасности электронной почты, который фильтрует весь входящий и исходящий трафик электронной почты и управляет им, чтобы защитить организации от угроз, связанных с электронной почтой, и утечек данных. ESG выпускается в виде отдельного аппаратного сетевого устройства для интеграции в локальную сеть компании, в виде виртуального решения, а также в качестве облачного сервиса на платформе Amazon Web Services или MIcrosoft Azure.
Расследование экспертов по ИБ производителя выявило, что злоумышленники смогли обнаружить критическую уязвимость в ESG версий 5.1.3.001-9.2.0.00 (CVE-2023-2868, оценка CVSS: 9,8) и эксплуатировали её в течение семи месяцев (с октября 2022 года) для доставки вредоносного ПО и кражи данных из IT-сетей компаний, которые установили у себя для защиты решения Barracuda. С помощью уязвимости хакеры удалённо без аутентификации взламывали и устанавливали на ESG вредоносные инструменты SaltWater, SeaSpy и SeaSide.
SaltWater позволяет злоумышленникам загружать и скачивать файлы, выполнять произвольные команды и использовать устройство в качестве прокси-сервера. SeaSpy обеспечивает функциональность бэкдора, а SeaSide используется для получения командной и управляющей информации (C2) и установки обратной оболочки в атакованной IT-инфраструктуре.
18 мая 2023 года инженерам Barracuda стало известно о массовых атаках на устройства ESG, 18 мая. На следующий день компания обнаружила 0-day.
20 мая критическая уязвимость в прошивках ESG была удалённо исправлена через распространение на устройства клиентов патчей безопасности.
21 мая Barracuda закрыла злоумышленникам доступ к скомпрометированным устройствам путём развёртывания специального скрипта в сети ESG.
24 мая компания Barracuda предупредила клиентов, что их устройства ESG могли быть взломаны из-за ошибки CVE-2023-2868. Компания посоветовала им исследовать свою сетевую IT-инфраструктуру на наличие признаков вторжения. Рекомендации Barracuda по этому инциденту сводились к необходимости установки обновлений и проверки IT-систем на наличие зловредов.
6 июня Barracuda выпустила новое уведомление для клиентов, в котором всем пострадавшим от атаки корпоративным заказчикам предлагается немедленно отключить от сети и полностью заменить на новые свои устройства ESG, независимо от ранее выполненных попыток обновления прошивки или перенастройки и переустановки текущих версий шлюзов безопасности электронной почты.
Профильные эксперты считают, что проблема оказалась настолько критична, что Barracuda не смогла удалённо или с помощью патчей безопасности нейтрализовать проблемы с заражением на клиентских устройствах. Сетевые защитные устройства компании используют более 200 тыс. организаций в мире, включая Samsung, Delta Airlines, Mitsubishi и Kraft Heinz.
24 мая 2023 года ZyXEL выпустила срочное предупреждение клиентам по всему миру. Межсетевые экраны компании внезапно перестали устанавливать VPN-соединения и пускать в веб-интерфейс. ZyXEL подготовила срочное обновление прошивок для своих устройств.
Источник новости: habr.com
