Barracuda pede que clientes substituam gateways vulneráveis

Da Redação
11/06/2023

A empresa de segurança Barracuda alertou os clientes sobre dispositivos de gateway de segurança de e-mail (ESG) afetados por uma exploração de dia zero recentemente divulgada e pediu para substituí-los imediatamente. Um patch para a vulnerabilidade, que vem sendo explorada desde outubro de 2022, foi lançado pela Barracuda no mês passado para impedir que a exploração permita a instalação da backdoor no ESG.

“A vulnerabilidade existia em um módulo que inicialmente examina os anexos de e-mails recebidos”, disse a empresa. “Nenhum outro produto Barracuda, incluindo nossos serviços de segurança de e-mail SaaS, estava sujeito à vulnerabilidade identificada”, afirmou a empresa.

Os usuários cujos dispositivos a Barracuda acredita terem sido afetados estão sendo notificados por meio da interface de usuário do ESG sobre as ações a serem adotadas. A empresa também comunicou alguns clientes específicos.

A vulnerabilidade, identificada como CVE-2023-2868, foi descoberta em 19 de maio e afetou as versões 5.1.3.001 a 9.2.0.006, permitindo que um invasor remoto conseguisse a execução de código em instalações suscetíveis. Consequentemente, a Barracuda lançou patches em 20 e 21 de maio para todos os gateways ESG em todo o mundo. Na atualização mais recente sobre o incidente, no entanto, a empresa aconselhou a substituição do dispositivo, independentemente do status do patch.

“Os dispositivos ESG afetados devem ser substituídos imediatamente, independentemente do nível da versão do patch”, disse a empresa em uma atualização, acrescentando que sua “recomendação de correção nesse momento é uma substituição completa do ESG afetado”.

Veja isso
Barracuda alerta sobre bug de dia zero em gateways de e-mail
Barracuda Networks vendida pela Thoma Bravo para a KKR

Até o momento, três variedades diferentes de malware foram descobertas em um subconjunto de dispositivos que permitem acesso persistente por backdoor, de acordo com a empresa. Evidências de exfiltração de dados foram identificadas em um subconjunto de aparelhos afetados, disse em uma atualização anterior.

As diferentes cepas usadas — SaltWater, Seaspy e Seaside — eram todos módulos backdoor que permtiam a exfiltração de dados. Embora o SaltWater e o Seaside ajudem a estabelecer um hack para o Barracuda SMTP daemon (bsmtpd) equipado para fazer upload e download arbitrário de arquivos, executar comandos e encapsular tráfego malicioso, o Seaspy é uma backdoor de formato executável e vinculável x64 (ELF) que oferece recursos de persistência, ativado através de um “pacote mágico” (remoto, wake-on-LAN).

A Mandiant, empresa de inteligência de segurança cibernética do Google que investiga o incidente, revelou sobreposições de código-fonte entre o Seaspy e uma backdoor de código aberto chamada cd00r. Os ataques não foram atribuídos a nenhum operador ou grupo de ameaças conhecido.

Compartilhar: