美國FBI 警告: Barracuda ESG漏洞修補無效 應盡速更換設備

美國聯邦調查局警告指，針對Barracuda Email Security Gateway(ESG) 應用程式的0-day 漏洞的補丁無效，已修補的設備仍然受到持續攻擊及受損。

該漏洞編號為 CVE-2023-2868，於 2022 年 10 月首次被利用來在 ESG 設備設置後門，並從受感染的系統中竊取資料。攻擊者部署了新惡意軟件 SeaSpy 和 Saltwater 以及惡意工具 SeaSide ，來建立用於遠程訪問的反向 shell。

此後，CISA 分享了有關在同一攻擊中部署的 Submariner 和 Whirlpool 惡意軟件的更多詳細信息。 美國網絡安全機構還於 5 月 27 日將該漏洞添加到了被廣泛利用的漏洞目錄中，警告聯邦機構檢查其網絡是否存在違規證據。

儘管Barracuda在5 月20 日（即發現該漏洞一天后）遠程修補了所有設備並阻止了攻擊者訪問被破壞的設備，但它還在6 月7 日警告所有客戶必須立即更換所有受影響的設備，可能是因為無法確保完全刪除攻擊中部署的惡意軟件。

Mandiant 隨後將利用 CVE-2023-2868 漏洞針對Barracuda ESG 設備的數據盜竊活動與 UNC4841 威脅組織聯繫起來，該組織被描述為疑似親中國的黑客組織。

FBI 還警告 Barracuda 客戶更換設備

FBI現在強化了Barracuda向客戶發出的警告，客戶應該緊急隔離和更換被黑客入侵的設備，並稱中國黑客仍在積極利用該漏洞，即使是已有補丁的設備也因補丁「無效」而面臨被入侵的風險。

「FBI 強烈建議立即隔離和更換所有受影響的 ESG 設備，並立即掃描所有網絡以查找與所提供的妥協指標列表的連接，」聯邦執法機構在周三發布的緊急警報中警告。「Barracuda 針對此 CVE 發佈的補丁無效。FBI會 繼續觀察主動入侵的活動，並認為所有受影響的 Barracuda ESG 設備均已受到損害並容易受到此漏洞的攻擊。」

文章來源：Bleeping Computer