Barracuda Networks, fiziksel E-posta Güvenliği Ağ Geçidi (ESG) cihazları çalıştıran müşterilerini “yama sürümü seviyesinden bağımsız olarak” bunları hemen değiştirmeye çağırıyor.
Güvenlik açığı tanımlama ve açıklama
Barracuda, ESG cihazlarında 19 Mayıs 2023’te kritik bir güvenlik açığı (CVE-2023-2868) tespit etti ve ertesi gün hepsine bir yama gönderdi.
21 Mayıs’ta “olayı kontrol altına almak ve yetkisiz erişim yöntemlerine karşı koymak için etkilenen tüm cihazlara bir komut dosyası dağıtıldı.”
Uzaktan komut ekleme güvenlik açığı, fiziksel cihazın 5.1.3.001 ila 9.2.0.006 sürümlerini etkiledi ve saldırganlar tarafından “ESG cihazlarının bir alt kümesine yetkisiz erişim elde etmek için” vahşi ortamda istismar ediliyordu.
Kalıcı erişim elde etmek için üzerlerine ısmarlama kötü amaçlı yazılım dağıtıldı.
Acil eylem gerekli
Barracuda başlangıçta müşterilere ESG cihazına (LDAP, AD, Barracuda Cloud Control, FTP, SMB) bağlı tüm kimlik bilgilerini döndürmelerini tavsiye etti ve etkilenen cihazı değiştireceğine söz verdi. Bu arada, müşterilere yeni bir sanal cihaz kurmalarını veya hizmetin bulut sürümünü seçmelerini önerdiler.
Ancak bu Salı (6 Haziran), şirket, etkilenen tüm müşterilerin etkilenen ESG cihazlarını mümkün olan en kısa sürede değiştirmelerini isteyen acil bir eylem bildirimi yayınladı. “Kullanıcı arayüzünüzde bildirim aldıktan sonra cihazınızı değiştirmediyseniz, şimdi destekle iletişime geçin ([email protected])” diye eklediler.
Rapid7’de güvenlik araştırması üst düzey yöneticisi Caitlin Condon, “yamadan etkilenen cihazların tamamen değiştirilmesine geçiş oldukça şaşırtıcı ve tehdit aktörlerinin konuşlandırdığı kötü amaçlı yazılımın, cihazı silmenin bile başaramayacağı kadar düşük bir seviyede kalıcılığa bir şekilde ulaştığı anlamına geliyor” dedi. t Saldırgan erişimini ortadan kaldırın.”
Rapid7 araştırmacıları, en son örnekler Mayıs 2023’te gözlemlenmekle birlikte, Kasım 2022’ye kadar uzanan devam eden kötü amaçlı eylemleri belirledi.
“En az bir durumda, giden ağ trafiği potansiyel veri hırsızlığını gösterdi. Tehlikeli bir cihazdan henüz herhangi bir yanal hareket gözlemlemedik,” diye paylaştı Condon.
Barracuda daha önce, CVE-2023-2868’in kötüye kullanıldığına dair tespit edilen en eski kanıtın, saldırganların bunu Ekim 2022’ye kadar kullandığına işaret ettiğini doğrulamıştı.