画像: Bing Image Creator
電子メールおよびネットワーク セキュリティ会社 Barracuda は、パッチが適用されたゼロデイ脆弱性を標的とした攻撃でハッキングされた電子メール セキュリティ ゲートウェイ (ESG) アプライアンスを交換する必要があると顧客に警告しています。
同社は火曜日に発行した最初の勧告の更新で、「影響を受けるESGアプライアンスは、パッチのバージョンレベルに関係なく、直ちに交換する必要がある」と警告した。
「現時点でのバラクーダの是正勧告は、影響を受けたESGを完全に置き換えることです。」
バラクーダによると、影響を受ける顧客にはすでに、侵害された ESG のユーザー インターフェースを通じて通知されています。まだデバイスを交換していないお客様は、至急メールでサポートにご連絡ください。
この警告は、 CVE-2023-2868として追跡されている Barracuda ESG のリモート コマンド インジェクションの重大な欠陥が 5 月 20 日にリモートでパッチされ、その 1 日後に専用のスクリプトを導入することで侵害されたアプライアンスへの攻撃者のアクセスが遮断された後に発行されました。
5 月 24 日、バラクーダは顧客に対し、ESG アプライアンスが CVE-2023-2868 バグによって侵害された可能性があると警告し、侵入の兆候がないか環境を調査するようアドバイスしました。
バラクーダの広報担当者は本日初めに完全なESG代替が必要な理由について詳細を問い合わせたが、コメントは得られなかった。
少なくとも 2022 年 10 月以降悪用されている
同社が1週間前に明らかにしたように、バラクーダESGのバグは、パッチが適用される前に、カスタムマルウェアで顧客のESGアプライアンスをバックドアし、データを盗むために少なくとも7か月間、ゼロデイとして悪用されていた。
この脆弱性は、2022 年 10 月に初めて「ESG アプライアンスのサブセット」に侵入し、侵害されたデバイスへの永続的なアクセスを攻撃者に提供するマルウェアをインストールするために使用されました。
彼らは、Saltwater マルウェアを導入して感染したアプライアンスをバックドアし、SeaSide と呼ばれる悪意のあるツールを導入して、SMTP HELO/EHLO コマンドを介して簡単にリモート アクセスできるリバース シェルを確立しました。
その後、攻撃者はアクセス権を利用して、バックドア付きアプライアンスから情報を盗みました。
CISA はまた、 攻撃に悪用されるバグのカタログにCVE-2023-2868 の脆弱性を追加し、ESG アプライアンスを導入している連邦機関に対し、ネットワークに侵害の証拠がないか確認するよう警告しました。
バラクーダ社によると、同社の製品はサムスン、デルタ航空、三菱、クラフト・ハインツなどの有名企業を含む20万以上の組織で使用されているという。
Comments