La société de sécurité de messagerie et de réseau Barracuda avertit ses clients qu’ils doivent remplacer les appliances ESG (Email Security Gateway) piratées lors d’attaques ciblant une vulnérabilité zero-day désormais corrigée.
« Les appliances ESG concernées doivent être immédiatement remplacées quel que soit le niveau de version du correctif », a averti la société dans une mise à jour de l’avis initial publié mardi.
« La recommandation de correction de Barracuda pour le moment est le remplacement complet de l’ESG impacté. »
Selon Barracuda, les clients concernés ont déjà été informés via l’interface utilisateur des ESG violés. Les clients qui n’ont pas encore remplacé leurs appareils sont priés de contacter l’assistance de toute urgence par e-mail.
L’avertissement survient après que la faille critique d’injection de commandes à distance Barracuda ESG, identifiée comme CVE-2023-2868, a été corrigée à distance le 20 mai, et que l’accès des attaquants aux appliances compromises a été coupé un jour plus tard en déployant un script dédié.
Le 24 mai, Barracuda a averti les clients que leurs appliances ESG pourraient avoir été violées via le bogue CVE-2023-2868 et leur a conseillé d’enquêter sur leurs environnements pour détecter des signes d’intrusion.
Un porte-parole de Barracuda n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée pour plus de détails sur les raisons pour lesquelles un remplacement complet de l’ESG est nécessaire.
Exploité depuis au moins octobre 2022
Avant d’être corrigé, le bogue Barracuda ESG a été exploité comme un zero-day pendant au moins sept mois pour détourner les appliances ESG des clients avec des logiciels malveillants personnalisés et voler des données, comme l’entreprise l’a révélé il y a une semaine.
Il a été utilisé pour la première fois en octobre 2022 pour violer « un sous-ensemble d’appliances ESG » et installer des logiciels malveillants qui ont fourni aux attaquants un accès persistant aux appareils compromis.
Ils ont déployé le logiciel malveillant Saltwater pour dérober les appareils infectés et un outil malveillant appelé SeaSide pour établir des shells inversés pour un accès à distance facile via les commandes SMTP HELO/EHLO.
Par la suite, les acteurs de la menace ont profité de leur accès pour voler des informations aux appliances dérobées.
La CISA a également ajouté la vulnérabilité CVE-2023-2868 à son catalogue de bogues exploités dans les attaques, avertissant les agences fédérales dotées d’appliances ESG de vérifier leurs réseaux pour rechercher des preuves de violations.
Barracuda affirme que ses produits sont utilisés par plus de 200 000 organisations, y compris des sociétés de premier plan comme Samsung, Delta Airlines, Mitsubishi et Kraft Heinz.