Federal Soruşturma Bürosu, kritik bir Barracuda E-posta Güvenliği Ağ Geçidi (ESG) uzaktan komut ekleme kusuruna yönelik yamaların “etkisiz” olduğu ve yamalı cihazların devam eden saldırılarda hâlâ tehlikeye atıldığı konusunda uyardı.
CVE-2023-2868 olarak takip edilen güvenlik açığı, ilk olarak Ekim 2022’de ESG cihazlarının arka kapılarını açmak ve güvenliği ihlal edilen sistemlerden veri çalmak amacıyla kullanıldı.
Saldırganlar, uzaktan erişim için ters kabuklar oluşturmak amacıyla önceden bilinmeyen kötü amaçlı yazılımlar olan SeaSpy ve Saltwater’ı ve kötü amaçlı bir araç olan SeaSide’ı kullandı.
CISA, o zamandan beri aynı saldırılarda kullanılan Submariner ve Whirlpool kötü amaçlı yazılımları hakkında daha fazla ayrıntı paylaştı. ABD siber güvenlik kurumu da hatayı 27 Mayıs’ta aktif olarak istismar edilen hatalar kataloğuna ekledi ve federal kurumları ihlal kanıtı açısından ağlarını kontrol etmeleri konusunda uyardı.
Barracuda, hatanın tespit edilmesinden bir gün sonra 20 Mayıs’ta tüm cihazlara uzaktan yama yapıp saldırganların ihlal edilen cihazlara erişimini engellemiş olsa da, 7 Haziran’da tüm müşterilerini etkilenen tüm cihazları derhal değiştirmeleri gerektiği konusunda uyardı. saldırılarda kullanılan kötü amaçlı yazılımların tamamen ortadan kaldırılmasını sağlayamadı.
Mandiant daha sonra CVE-2023-2868 açıklarını kullanan Barracuda ESG cihazlarını hedef alan veri hırsızlığı kampanyasını, Çin yanlısı olduğundan şüphelenilen bir bilgisayar korsanlığı grubu olarak tanımlanan UNC4841 tehdit grubuyla ilişkilendirdi.
FBI ayrıca Barracuda müşterilerini cihazları değiştirmeleri konusunda uyardı
FBI şimdi Barracuda’nın müşterilere, saldırıya uğramış cihazları acilen izole etmeleri ve değiştirmeleri gerektiği yönündeki uyarısını güçlendirdi; Çinli bilgisayar korsanlarının hala aktif olarak bu güvenlik açığından yararlandığını ve yamalı cihazların bile “etkisiz” yamalar nedeniyle tehlikeye girme riskiyle karşı karşıya olduğunu söyledi.
Federal emniyet teşkilatı, “FBI, etkilenen tüm ESG cihazlarının derhal izole edilmesini ve değiştirilmesini ve tüm ağların, sağlanan tehlike göstergeleri listesine bağlantılar için derhal taranmasını şiddetle tavsiye ediyor.” [PDF] Çarşamba günü yayınlanan flaş uyarıda.
“Bu CVE’ye yanıt olarak Barracuda tarafından yayımlanan yamalar etkisizdi. FBI, aktif izinsiz girişleri gözlemlemeye devam ediyor ve etkilenen tüm Barracuda ESG cihazlarının tehlikeye atıldığını ve bu istismara karşı savunmasız olduğunu düşünüyor.
“FBI, güvenlik açığından yararlanan tüm ESG cihazlarının, hatta Barracuda tarafından çıkarılan yamalara sahip olanların bile, bu güvenlik açığından yararlanan şüpheli Çin Halk Cumhuriyeti siber aktörlerinin bilgisayar ağının sürekli olarak ele geçirilmesi riski altında olduğunu bağımsız olarak doğruladı.”
Ayrıca kurum, Barracuda müşterilerine, danışma belgesinde paylaşılan güvenlik ihlali göstergeleri (IOC’ler) listesindeki IP’lere giden bağlantıları tarayarak ağlarını olası ek ihlallere karşı araştırmalarını tavsiye etti.
Barracuda cihazlarıyla (örneğin, Active Directory Etki Alanı Yöneticisi) kurumsal ayrıcalıklı kimlik bilgilerini kullananlardan, saldırganların ağ kalıcılığını sürdürme girişimlerini engellemek için bunları iptal etmeleri ve rotasyona tabi tutmaları istendi.
Barracuda, güvenlik ürünlerinin aralarında Samsung, Delta Airlines, Mitsubishi ve Kraft Heinz gibi yüksek profilli şirketlerin de bulunduğu dünya çapında 200.000’den fazla kuruluş tarafından kullanıldığını söylüyor.