今年5月下旬美國CISA曾警告Barracuda Email Security Gateway(ESG) 應用程式的0-day 漏洞,CVE 編號為 CVE-2023-2868。Barracuda表示,已透過強制更新機制套用兩個針對此 0-day 漏洞的修補程式,因此CVE-2023-2868已修補完成。
然而近日外媒報導,美國FBI警告Barracuda的漏洞修補無效,且也發現已修補的設備仍持續被攻擊損害。
相關文章:政府單位應立即檢視是否因 Barracuda 0-day 漏洞而遭攻擊
CVE-2023-2868於 2022 年 10 月首次被利用來在 ESG 設備設置後門並從受感染的系統中竊取資料。攻擊者佈署新惡意軟體SeaSpy 和 Saltwater 以及惡意工具 SeaSide,以建立用於遠端訪問的反向 shell。目前美國CISA已將CVE-2023-2868添加至KEV目錄中。
其實Barracuda曾於6月初警告所有客戶必須立即更換所有受影響的設備,可能是因為無法確保完全刪除攻擊被部署的惡意軟體。Mandiant也發現CVE-2023-2868 漏洞攻擊與UNC4841 威脅組織的資料竊盜活動有關連。UNC4841可能與親中的駭客組織有關。
FBI強調用戶應重視Barracuda警告,也就是應該進行緊急隔離和更換已被駭客入侵的設備。FBI並表示中國駭客仍積極利用CVE-2023-2868漏洞,即使是已修補漏洞的設備也因修補無效而面臨被入侵的風險。
FBI建議 Barracuda 用戶透過掃描通報中共享的入侵指標 (IOC) 列中 IP 位址來調查其網路是否存在潛在攻擊行為。Barracuda設備上使用的企業特權憑證,如Active Directory 網域管理也應盡速更改,以阻止攻擊者維持持久性的嘗試。
本文轉載自BleepingComputer。