CVE-2023-2868 olarak izlenen bir hataya karşı savunmasız olan Barracuda Networks’ün E-posta Güvenliği Ağ Geçidi (ESG) cihazlarını çalıştıran kuruluşlar, yama yapıp yapmadıklarına bakılmaksızın donanımlarını çöpe atıyor ve yenisini arıyor.
Barracuda, 18 Mayıs’ta güvenliği ihlal edilmiş ESG cihazlarından kaynaklanan tehlikeli trafik konusunda uyarı aldıktan sonra 20 Mayıs’ta bir yama kullanıma sundu, ancak şimdi yamanın yetersiz olduğu görülüyor.
Kuruluş, yaptığı açıklamada, “Etkilenen ESG cihazları, yama sürümü seviyesine bakılmaksızın derhal değiştirilmelidir” dedi.
“Kullanıcı arayüzünüzde bildirim aldıktan sonra cihazınızı değiştirmediyseniz, şimdi destekle iletişime geçin. Barracuda’nın şu anda düzeltme önerisi, etkilenen ESG’nin tamamen değiştirilmesidir” dedi.
İlk olarak Mayıs 2023’te tanımlanan ve açıklanan CVE-2023-2868, fiziksel ESG cihazlarının 5.1.3.001 ila 9.2.0.006 sürümlerinde bulunan bir uzaktan komut ekleme güvenlik açığıdır. Bir saldırganın yükseltilmiş ayrıcalıklarla uzaktan kod yürütme (RCE) gerçekleştirmesine olanak tanır ve tedarikçinin araştırması, Ekim 2022’den bu yana aktif olarak kötüye kullanıldığını tespit etti.
Google Cloud’dan Mandiant’ın yardımıyla Barracuda’nın araştırması, güvenlik açığının, üzerine Saltwater ve Seaspy adlı iki arka kapı kötü amaçlı yazılımının yerleştirildiği bir ESG kutuları alt kümesine yetkisiz erişim elde etmek için kullanıldığını belirledi. ters kabuk.
Güvenlik açığı, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatının (CISA) ABD hükümeti genelinde yama yapılmasını zorunlu kılan Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna eklemesi için yeterince ciddi olduğunu kanıtladı.
Kıdemli Yöneticisi Caitlin Condon, “Yamadan etkilenen cihazların tamamen değiştirilmesine geçiş oldukça şaşırtıcı ve tehdit aktörlerinin dağıttığı kötü amaçlı yazılımın, cihazı silmenin bile saldırgan erişimini ortadan kaldırmayacak kadar düşük bir seviyede kalıcılığa bir şekilde ulaştığı anlamına geliyor” dedi. Rapid7’de güvenlik açığı araştırması.
Condon, halka açık internete maruz kalan 11.000 kadar ESG cihazı olabileceğini söyledi ve Rapid7 ekiplerinin Barracuda’nın değerlendirmesine uygun bir zaman ölçeğinde önemli hacimlerde kötü amaçlı etkinlik tespit ettiğini ortaya çıkardı – tehdit aktörü altyapısıyla en son iletişim Mayıs ayında gözlemlendi. 2023.
Bazı durumlarda Rapid7’nin güvenliği ihlal edilmiş ağlardan potansiyel veri sızıntısı gözlemlediğini, ancak ekibin henüz güvenliği ihlal edilmiş bir cihazdan herhangi bir yanal hareket gözlemlemediğini ekledi.
Kullanıcılara, savunmasız cihazları çevrimdışı duruma getirmenin yanı sıra, bağlı Hafif Dizin Erişim Protokolü/Aktif Dizin, Barracuda Bulut Kontrolü, dosya aktarım protokolü (FTP) sunucusu, sunucu ileti bloğu ( SMB) protokolleri ve özel aktarım katmanı güvenliği (TLS) sertifikaları.