Le Federal Bureau of Investigation a averti que les correctifs pour une faille critique d’injection de commandes à distance de Barracuda Email Security Gateway (ESG) sont « inefficaces » et que les appareils corrigés sont toujours compromis dans les attaques en cours.
Suivie sous le numéro CVE-2023-2868, la vulnérabilité a été exploitée pour la première fois en octobre 2022 pour détourner les appareils ESG et voler les données des systèmes compromis.
Les attaquants ont déployé des logiciels malveillants jusqu’alors inconnus, SeaSpy et Saltwater, ainsi qu’un outil malveillant, SeaSide, pour établir des shells inversés pour l’accès à distance.
CISA a depuis partagé plus de détails sur les logiciels malveillants Submariner et Whirlpool qui ont été déployés dans les mêmes attaques. L’agence américaine de cybersécurité a également ajouté le bug à son catalogue de bugs activement exploités dans la nature le 27 mai, avertissant les agences fédérales de vérifier leurs réseaux à la recherche de preuves de violations.
Même si Barracuda a corrigé tous les appareils à distance et bloqué l’accès des attaquants aux appareils infectés le 20 mai, un jour après l’identification du bug, il a également averti tous les clients le 7 juin qu’ils devaient remplacer immédiatement tous les appareils concernés, probablement parce que cela n’a pas pu garantir la suppression complète des logiciels malveillants déployés lors des attaques.
Mandiant a ensuite lié la campagne de vol de données ciblant les appareils Barracuda ESG à l’aide des exploits CVE-2023-2868 au groupe de menace UNC4841, décrit comme un groupe de piratage présumé pro-Chine.
Le FBI avertit également les clients du Barracuda de remplacer leurs appareils
Le FBI a maintenant renforcé l’avertissement de Barracuda aux clients selon lequel ils devraient isoler et remplacer de toute urgence les appareils piratés, affirmant que les pirates chinois continuent d’exploiter activement la vulnérabilité et que même les appareils corrigés risquent d’être compromis en raison de correctifs « inefficaces ».
« Le FBI conseille fortement que tous les appareils ESG concernés soient isolés et remplacés immédiatement, et que tous les réseaux soient immédiatement analysés pour détecter les connexions à la liste d’indicateurs de compromission fournie », a averti l’agence fédérale chargée de l’application des lois [PDF] dans une alerte flash publiée mercredi.
« Les correctifs publiés par Barracuda en réponse à ce CVE se sont révélés inefficaces. Le FBI continue d’observer des intrusions actives et considère que toutes les appliances Barracuda ESG concernées sont compromises et vulnérables à cet exploit.
« Le FBI a vérifié de manière indépendante que tous les appareils ESG exploités, même ceux dotés de correctifs publiés par Barracuda, restent exposés à un risque de compromission continue du réseau informatique par des cyber-acteurs présumés de la RPC exploitant cette vulnérabilité. »
En outre, l’agence a conseillé aux clients de Barracuda d’enquêter sur leurs réseaux pour détecter d’éventuelles violations supplémentaires en analysant les connexions sortantes vers les adresses IP dans la liste des indicateurs de compromission (IOC) partagée dans l’avis.
Ceux qui utilisaient des informations d’identification privilégiées par l’entreprise avec leurs appliances Barracuda (par exemple, l’administrateur de domaine Active Directory) étaient également invités à les révoquer et à les alterner afin de contrecarrer les tentatives des attaquants de maintenir la persistance du réseau.
Barracuda affirme que ses produits de sécurité sont utilisés par plus de 200 000 organisations dans le monde, notamment des sociétés de premier plan telles que Samsung, Delta Airlines, Mitsubishi et Kraft Heinz.