Bir sıfırıncı gün güvenlik açığının, bir ağ güvenliği sağlayıcısının müşterilerini, yalnızca yazılım güncellemelerini uygulamak yerine, etkilenen tüm donanımları fiziksel olarak kaldırmaya ve devre dışı bırakmaya zorlaması sık rastlanan bir durum değildir. Ancak uzmanlar, bu hafta yaşananların tam olarak bu olduğunu söylüyor. Barracuda Ağlarışirket, e-posta güvenlik araçlarını artık yazılım düzeltmeleriyle güvenli bir şekilde güncellenemeyecek kadar temel bir şekilde baltalamış gibi görünen, yayılan bir kötü amaçlı yazılım tehdidiyle mücadele etmek için mücadele ederken.
Barracuda Email Security Gateway (ESG) 900 cihazı.
Campbell, California merkezli Barracuda, olaya müdahale firmasını işe aldığını söyledi Mandiant 18 Mayıs’ta, kendisinden kaynaklanan olağandışı trafikle ilgili raporlar aldıktan sonra E-posta Güvenlik Ağ Geçidi (ESG) cihazları, bir kuruluşun ağının ucunda oturmak ve gelen ve giden tüm e-postaları kötü amaçlı yazılımlara karşı taramak için tasarlanmıştır.
19 Mayıs’ta Barracuda, kötü amaçlı trafiğin ESG cihazlarında önceden bilinmeyen bir güvenlik açığından yararlandığını belirledi ve 20 Mayıs’ta şirket, etkilenen tüm cihazlara kusur için bir yama gönderdi (CVE-2023-2868).
Güvenlik danışma belgesinde Barracuda, güvenlik açığının ekleri kötü amaçlı yazılımlara karşı taramaktan sorumlu Barracuda yazılım bileşeninde bulunduğunu söyledi. Daha da endişe verici bir şekilde şirket, saldırganların açıktan yararlanmaya ilk olarak Ekim 2022’de başladığını söyledi.
Ancak 6 Haziran’da Barracuda birdenbire ESG müşterilerini etkilenen cihazları toptan sökmeye ve yama yapmaya değil değiştirmeye teşvik etmeye başladı.
Şirketin danışma belgesi, “Etkilenen ESG cihazları, yama sürümü düzeyi ne olursa olsun derhal değiştirilmelidir” uyarısında bulundu. “Barracuda’nın şu anda önerisi, etkilenen ESG’nin tamamen değiştirilmesidir.”
hızlı7‘S Caitlin Condon olayların bu olağanüstü gidişatını “oldukça çarpıcı” olarak nitelendirdi ve dünya çapında hala internete bağlı yaklaşık 11.000 hassas ESG cihazının göründüğünü söyledi.
Condon, “Yamadan etkilenen cihazların tamamen değiştirilmesine geçiş oldukça şaşırtıcı ve tehdit aktörlerinin dağıttığı kötü amaçlı yazılımın, cihazı silmenin bile saldırgan erişimini ortadan kaldıramayacak kadar düşük bir seviyede kalıcılığa bir şekilde ulaştığı anlamına geliyor” diye yazdı.
Barracuda, kötü amaçlı yazılımın, saldırganların cihazlara sürekli arka kapı erişimine izin veren bir cihaz alt kümesinde tespit edildiğini ve bazı sistemlerde veri hırsızlığına dair kanıtların tespit edildiğini söyledi.
Rapid7, saldırganların kusuru kurban ağları içinde yatay olarak hareket etmek için kullandıklarına dair hiçbir kanıt görmediğini söyledi. Ancak bu, yabancı siber casusların muhtemelen aylardır tüm e-postalarını süpürdüğü fikriyle artık yüzleşen Barracuda müşterileri için küçük bir teselli olabilir.
Nicholas WeaverBerkeley Uluslararası Bilgisayar Bilimleri Enstitüsü (ICSI) California Üniversitesi’nden bir araştırmacı, kötü amaçlı yazılımın ESG cihazlarına güç sağlayan temel üretici yazılımını onarılamaz bir şekilde bozmasının muhtemel olduğunu söyledi.
Weaver, “Kötü amaçlı yazılımın hedeflerinden biri, kaldırılması zor olmaktır ve bu, kötü amaçlı yazılımın, yazılımın kendisini kaldırmayı gerçekten zorlaştırmak ve gerçekten gizli hale getirmek için tehlikeye attığını gösteriyor” dedi. “Bu bir fidye yazılımı aktörü değil, bu bir devlet aktörü. Neden? Çünkü bir fidye yazılımı aktörü, bu erişim düzeyini umursamaz. Buna ihtiyaçları yok. Veri gaspına gideceklerse, bu daha çok bir parçala ve ele geçir gibi olur. Verileri fidye olarak kullanacaklarsa, makineleri değil, verilerin kendisini şifreliyorlar.”
Barracuda, cihazları değiştirmeye ek olarak, ESG müşterilerinin cihazlara bağlı tüm kimlik bilgilerini döndürmesi ve şirketin halka açık olarak yayınladığı ağ ve uç nokta göstergelerini kullanarak en az Ekim 2022’ye kadar uzanan uzlaşma belirtilerini kontrol etmesi gerektiğini söylüyor.