ABD Federal Soruşturma Bürosu (FBI), yakın zamanda açıklanan kritik bir kusura karşı yama uygulanan Barracuda Networks E-posta Güvenliği Ağ Geçidi (ESG) cihazlarının, şüpheli Çinli bilgisayar korsanlığı gruplarından potansiyel tehlike altında olmaya devam ettiği konusunda uyarıyor.
Ayrıca düzeltmelerin “etkisiz” olduğu kabul edildi ve “aktif izinsiz girişleri gözlemlemeye devam ettiği ve etkilenen tüm Barracuda ESG cihazlarının güvenliği ihlal edilmiş ve bu istismara karşı savunmasız olduğu değerlendirildi.”
CVE-2023-2868 (CVSS puanı: 9,8) olarak takip edilen sıfır gün hatasının, Ekim 2022 gibi erken bir tarihte, güvenlik açığının kapatılmasından yedi aydan fazla bir süre önce silah haline getirildiği söyleniyor. Google’ın sahibi olduğu Mandiant, Çin nexus etkinlik kümesini UNC4841 adı altında izliyor.
5.1.3.001 ile 9.2.0.006 arasındaki sürümleri etkileyen uzaktan komut ekleme güvenlik açığı, ESG ürününde yönetici ayrıcalıklarıyla sistem komutlarının yetkisiz yürütülmesine olanak tanıyor.
Şu ana kadar gözlemlenen saldırılarda başarılı bir ihlal, SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL ve SUBMARINE (diğer adıyla DEPTHCHARGE) gibi keyfi komutların yürütülmesine izin veren birden fazla kötü amaçlı yazılım türünün yayılması için bir kanal görevi görüyor ve savunma kaçırma
FBI, “Siber aktörler bu güvenlik açığından yararlanarak kalıcı erişim, e-posta taraması, kimlik bilgileri toplama ve veri sızdırma gibi çeşitli yeteneklere sahip ESG cihazına kötü amaçlı yükler yerleştirdi” dedi.
Tehdit istihbaratı firması, UNC4841’i hem agresif hem de becerikli olarak nitelendirdi; çok yönlülük konusunda bir yetenek sergiliyor ve özel araçlarını ek kalıcılık mekanizmaları kullanmak ve yüksek öncelikli hedeflerde yerlerini korumak için hızla uyarlıyor.
Federal kurum, müşterilere etkilenen tüm ESG cihazlarını derhal etkili olacak şekilde izole edip değiştirmelerini ve ağları şüpheli giden trafiğe karşı taramalarını tavsiye ediyor.