米連邦捜査局は、バラクーダ電子メールセキュリティゲートウェイ(ESG)のリモートコマンドインジェクションの重大な欠陥に対するパッチは「無効」であり、パッチが適用されたアプライアンスは依然として進行中の攻撃で侵害されていると警告した。
CVE-2023-2868 として追跡されているこの脆弱性は、2022 年 10 月に ESG アプライアンスをバックドアし、侵害されたシステムからデータを盗むために初めて悪用されました。
攻撃者は、これまで知られていなかったマルウェア SeaSpy と Saltwater、および悪意のあるツール SeaSide を導入して、リモート アクセス用のリバース シェルを確立しました。
その後、CISA は、同じ攻撃で導入されたSubmarinerおよびWhirlpoolマルウェアに関するさらなる詳細を共有しました。米国サイバーセキュリティ庁も 5 月 27 日、このバグを実際に悪用されているバグのカタログに追加し、連邦政府機関に対し、ネットワークに侵害の証拠がないかチェックするよう警告しました。
バラクーダは、バグが特定された翌日の 5 月 20 日にすべてのアプライアンスにリモートでパッチを適用し、侵害されたデバイスへの攻撃者のアクセスをブロックしたにもかかわらず、6 月 7 日にはすべての顧客に対し、 影響を受けるすべてのアプライアンスを直ちに交換する必要があると警告しました。攻撃で展開されたマルウェアを完全に削除することを保証できませんでした。
FBIもバラクーダの顧客に家電製品を交換するよう警告
FBIは現在、中国のハッカーが依然としてこの脆弱性を積極的に悪用しており、パッチが適用されたデバイスでさえも「効果のない」パッチのせいで侵害される危険にさらされているとして、ハッキングされた機器を早急に隔離して交換する必要があるというバラクーダ社の顧客に対する警告を強化した。
「FBIは、影響を受けるすべてのESG機器を直ちに隔離して交換し、提供された侵害の兆候のリストへの接続をすべてのネットワークでスキャンすることを強く勧告する」と連邦法執行機関は水曜日に発行した速報で警告した[PDF]。
「この CVE に対応してバラクーダがリリースしたパッチは効果がありませんでした。FBI は引き続き活発な侵入を監視しており、影響を受けるすべてのバラクーダ ESG アプライアンスが侵害され、このエクスプロイトに対して脆弱であると考えています。」
「FBIは、悪用されたすべてのESGアプライアンスは、たとえバラクーダによってプッシュされたパッチが適用されたものであっても、依然としてこの脆弱性を悪用する中国のサイバー攻撃者と思われる者による継続的なコンピュータネットワーク侵害の危険にさらされていることを確認した。」
さらに同庁はバラクーダの顧客に対し、勧告で共有されている侵害指標(IOC)のリストにあるIPへのアウトバウンド接続をスキャンして、ネットワークにさらなる侵害の可能性がないか調査するようアドバイスした。
Barracuda アプライアンスでエンタープライズ特権の認証情報を使用していたユーザー (Active Directory ドメイン管理者など) も、ネットワークの永続性を維持しようとする攻撃者の試みを阻止するために、認証情報を取り消してローテーションするよう促されました。
バラクーダ社によると、同社のセキュリティ製品はサムスン、デルタ航空、三菱、クラフト・ハインツなどの有名企業を含む世界中の20万以上の組織で使用されているという。
Comments