FBI, Barracuda’nın yamanın etkisiz olması nedeniyle tüm ESG cihazlarının derhal değiştirilmesi gerektiği yönündeki uyarısını tekrarlıyor.
CVE-2023-2868 olarak listelenen Barracuda ESG güvenlik açığı hakkındaki FBI Flash’ında FBI, Barracuda’nın bu CVE’ye yanıt olarak yayınladığı yamaların daha önce virüs bulaşmış kişiler için etkisiz olduğunu belirtti. Hem Barracude hem de Mandiant bu tespiti zaten yapmış olsa da kurum bunu “bağımsız olarak doğruladığını” söylüyor.
Daha önceki bir gönderide açıkladığımız gibi, sıfır gün güvenlik açığının, Çin ile bağları olduğu iddia edilen bir grup tarafından yamanın yayınlanmasından aylar önce hedefli saldırılarda kullanıldığı bildirildi.
23 Mayıs 2023’te Barracuda, “20 Mayıs 2023 Cumartesi günü dünya çapındaki tüm ESG cihazlarına güvenlik açığını ortadan kaldıran bir güvenlik yamasının uygulandığını” yayınladı. Bu yamayı 21 Mayıs’ta bir başka yama izledi ve etkilenen cihazlara sahip kullanıcılara “gerçekleştirilecek eylemler konusunda ESG kullanıcı arayüzü aracılığıyla bilgi verildiği” bildirildi.
6 Haziran 2023’te Barracuda, etkilenen ESG cihazlarının derhal değiştirilmesi gerektiğini müşterilere bildiren bir eylem bildirimi göndererek, zaten virüs bulaşmış bir cihazda yama uygulamasının tek başına yeterli olmayacağının sinyalini verdi.
Güvenliği ihlal edilmiş ESG cihazları, yama sürümü düzeyine bakılmaksızın derhal değiştirilmelidir. Yalnızca ESG cihazlarının bir alt kümesi, bilinen herhangi bir güvenlik ihlali göstergesi göstermiştir ve cihazın Kullanıcı Arayüzündeki bir mesajla tanımlanmıştır.
28 Temmuz’da şirket, yama uygulanmış virüslü cihazlarda SUBMARINE kötü amaçlı yazılımının bulunduğunu açıkladı
Bu ek kötü amaçlı yazılım, tehdit aktörü tarafından, müşteri ESG cihazlarına kalıcı erişim sağlamak amacıyla Barracuda’nın iyileştirme eylemlerine yanıt olarak kullanıldı. Bu kötü amaçlı yazılım, zaten güvenliği ihlal edilmiş çok az sayıda ESG cihazında ortaya çıktı.
Bugünkü bir blog yazısında Mandiant, yamaların etkili göründüğünü doğruladı ve Barracuda yamalarını yayınladığından bu yana “Mandiant ve Barracuda, CVE-2023-2868’in başarılı bir şekilde kullanıldığına dair yeni bir fiziksel veya sanal ESG ihlaline yol açan bir kanıt tespit edemedi” dedi. cihazlar.” Şirket, güvenliği ihlal edilen kuruluşların cihazlarını değiştirmesi gerektiğini yineledi:
…daha önce etkilenen sınırlı sayıda kurban bu kampanya nedeniyle risk altında olmaya devam ediyor… Mandiant’ın tavsiyeleri değişmeden kalıyor; bu kampanyadan etkilenen kurbanlar Barracuda desteğiyle iletişime geçmeli ve tehlikeye atılan cihazı değiştirmelidir.
FBI artık aynı bulguları bağımsız olarak doğruladı.
FBI, güvenlik açığından yararlanılan tüm ESG cihazlarının, hatta Barracuda tarafından yayınlanan yamalara sahip olanların bile, bu güvenlik açığından yararlanan şüpheli Çin Halk Cumhuriyeti siber aktörleri tarafından bilgisayar ağının sürekli olarak tehlikeye atılması riski altında olduğunu bağımsız olarak doğruladı.
Barracuda’nın cihazındaki kusur, Barracuda Email Security Gateway’de (yalnızca cihaz form faktörü) bulunan bir uzaktan komut ekleme güvenlik açığıdır. Güvenlik açığı, .tar dosya eklerinde bulunan dosya adlarının eksik giriş doğrulamasından kaynaklanıyor. Sonuç olarak uzaktaki bir saldırgan, bu dosya adlarını, Email Security Gateway ürününün ayrıcalıklarıyla Perl’in qx operatörü aracılığıyla uzaktan bir sistem komutunu çalıştıracak şekilde özel olarak biçimlendirebilir.
FBI’a göre siber suçlular, bu güvenlik açığından yararlanarak ESG cihazına kalıcı erişim, e-posta taraması, kimlik bilgileri toplama ve veri sızdırma gibi çeşitli yeteneklere sahip kötü amaçlı yükler yerleştirdi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Barracuda ESG cihazlarında bu güvenlik açığından yararlanılmasıyla ilişkili kötü amaçlı yazılım türlerini temel alan dört kötü amaçlı yazılım analiz raporu yayınladı.
CISA raporlarının adresi:
Bu raporlarda ve FBI Flash’ta, Ekim 2022’den bu güne kadar ortamınızda Barracuda ESG cihazına sahipseniz veya sahip olduysanız kesinlikle takip etmeye değer bir dizi Uzlaşma Göstergesi bulabilirsiniz.
FBI, Barracuda cihazlarının (Active Directory Etki Alanı Yöneticisi gibi) yönetimi için kurumsal ayrıcalıklı kimlik bilgilerini kullanan müşterilerin, cihazlarında kullanılan tüm kimlik bilgilerinin kullanımını ve davranışını doğrulamak için olay inceleme adımlarını derhal atmasını önermektedir. Soruşturma adımları şunları içerebilir:
- İlk maruz kalma noktasını belirlemek için e-posta günlüklerini inceleyin
- Güvenliği ihlal anında ESG’de bulunan tüm etki alanı tabanlı ve yerel kimlik bilgilerini iptal edin ve döndürün
- Güvenliği ihlal anında ESG’de bulunan tüm sertifikaları iptal edin ve yeniden yayınlayın
- Güvenliği ihlal anında ESG’de bulunan kimlik bilgilerinin kullanımı açısından tüm ağı izleyin
- Veri sızması ve yanal hareket belirtileri açısından ağ günlüklerini inceleyin
- Cihazın adli görüntüsünü yakalayın ve adli analiz yapın
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.