Barracuda, Çinli tehdit aktörlerinin, “sınırlı sayıda” cihaza arka kapı dağıtmak için Email Security Gateway (ESG) cihazlarında yeni bir sıfır gün özelliğini kullandığını ortaya çıkardı.
CVE-2023-7102 olarak izlenen sorun, ağ geçidi içindeki Amavis tarayıcısı tarafından kullanılan üçüncü taraf ve açık kaynak kitaplık Spreadsheet::ParseExcel’de bulunan rastgele kod yürütme durumuyla ilgilidir.
Şirket, etkinliği Google’ın sahibi olduğu Mandiant tarafından takip edilen bir tehdit aktörüne bağladı: UNC4841Bu, daha önce bu yılın başlarında Barracuda cihazlarında başka bir sıfır günün (CVE-2023-2868, CVSS puanı: 9,8) aktif olarak kullanılmasıyla bağlantılıydı.
Yeni kusurdan başarıyla yararlanılması, özel hazırlanmış bir Microsoft Excel e-posta eki aracılığıyla gerçekleştirilir. Bunu, SEASPY ve TUZLU SU adı verilen ve kalıcılık ve komut yürütme yetenekleri sunacak şekilde donatılmış, bilinen implantların yeni çeşitlerinin konuşlandırılması takip ediyor.
Barracuda, 21 Aralık 2023’te “otomatik olarak uygulanan” bir güvenlik güncellemesi yayınladığını ve müşterinin başka bir işlem yapmasına gerek olmadığını söyledi.
Ayrıca, bir gün sonra “yeni tanımlanan kötü amaçlı yazılım varyantlarıyla ilgili risk göstergeleri sergileyen, güvenliği ihlal edilmiş ESG cihazlarını düzeltmek için bir yama dağıttığını” belirtti. Uzlaşmanın boyutunu açıklamadı.
Bununla birlikte, Spreadsheet::ParseExcel Perl modülündeki (sürüm 0.65) orijinal kusur yamalı olarak kalıyor ve CVE tanımlayıcısı CVE-2023-7101 olarak atandı, bu da alt kullanıcıların uygun düzeltici eylemi gerçekleştirmesini gerektiriyor.
Kampanyayı araştıran Mandiant’a göre, en az 16 ülkede bulunan çok sayıda özel ve kamu sektörü kuruluşunun Ekim 2022’den bu yana etkilendiği tahmin ediliyor.
En son gelişme, mevcut boşluklar kapandıkça yüksek öncelikli hedeflere erişimi sürdürmek için yeni taktik ve tekniklerden yararlanarak UNC4841’in uyarlanabilirliğini bir kez daha ortaya koyuyor.