La société de sécurité des réseaux et de la messagerie Barracuda a déclaré avoir corrigé à distance toutes les appliances ESG (Email Security Gateway) actives le 21 décembre contre un bogue zero-day exploité par des pirates informatiques chinois UNC4841.

L’entreprise a déployé une deuxième vague de mises à jour de sécurité un jour plus tard sur des appliances ESG déjà compromises, où les attaquants ont déployé des logiciels malveillants SeaSpy et Saltwater.

Divulgué la veille de Noël et suivi sous la référence CVE-2023-7102, le jour zéro est dû à une faiblesse de la bibliothèque tierce Spreadsheet::ParseExcel utilisée par l’analyseur de virus Amavis fonctionnant sur les appliances Barracuda ESG.

Les attaquants peuvent exploiter la faille pour exécuter du code arbitraire sur des appliances ESG non corrigées via l’injection de paramètres.

La société a également déposé l’ID CVE-2023-7101 CVE pour suivre le bogue séparément dans la bibliothèque open source, qui attend toujours un correctif.

« Aucune action n’est requise de la part des clients pour le moment, et notre enquête est en cours », a déclaré Barracuda dans un avis publié le 24 décembre.

« Barracuda, en collaboration avec Mandiant, évalue que cette activité est attribuable à la poursuite des opérations de l’acteur China nexus suivi sous le numéro UNC4841.

« Pour les organisations utilisant Spreadsheet:: ParseExcel dans leurs propres produits ou services, nous recommandons d’examiner CVE-2023-7101 et de prendre rapidement les mesures correctives nécessaires. »

Deuxième vague d’attaques zero-day cette année
En mai, le même groupe de hackers a utilisé un autre jour zéro (CVE-2023-2868) pour cibler les appliances Barracuda ESG dans le cadre d’une campagne de cyberespionnage.

Barracuda a révélé que le zero-day avait été utilisé de manière abusive dans des attaques pendant au moins sept mois, depuis au moins octobre 2022, pour déployer des logiciels malveillants jusque-là inconnus et exfiltrer des données de systèmes compromis.

​Ils ont déployé des logiciels malveillants SeaSpy et Saltwater et l’outil malveillant SeaSide pour accéder à distance aux systèmes piratés via des coques inversées.

Les logiciels malveillants Submarine (alias DepthCharge) et Whirlpool ont été déployés dans les mêmes attaques que les charges utiles à un stade ultérieur pour maintenir la persistance d’un petit nombre d’appareils précédemment compromis sur des réseaux de cibles de grande valeur.

La motivation des attaquants était l’espionnage, les pirates informatiques UNC4841 se livrant à une exfiltration ciblée des réseaux piratés vers des utilisateurs gouvernementaux et de haute technologie de premier plan.

Carte des clients Barracuda touchés par les attaques de mai

​Près d’un tiers des appareils piratés lors de la campagne de mai appartenaient à des agences gouvernementales, la plupart entre octobre et décembre 2022, selon la société de cybersécurité Mandiant.

Barracuda a averti les clients après les attaques de mai qu’ils devaient remplacer immédiatement toutes les appliances compromises, même celles qu’ils avaient déjà corrigées (environ 5% de toutes les appliances ont été violées lors des attaques).

Barracuda affirme que plus de 200 000 organisations dans le monde utilisent ses produits, y compris de grandes entreprises comme Samsung, Kraft Heinz, Mitsubishi et Delta Airlines.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *