En un reciente desarrollo de ciberseguridad, Barracuda, la reconocida firma de seguridad de redes y correo electrónico, ha parcheado de forma remota todos los dispositivos activos de Email Security Gateway (ESG) el 21 de diciembre. Esta acción fue en respuesta a una vulnerabilidad de Zero-Day explotada por piratas informáticos chinos asociados con UNC4841. Posteriormente, se implementó una segunda ola de actualizaciones de seguridad en dispositivos comprometidos de ESG, donde los atacantes habían desplegado los malware SeaSpy y Saltwater.
La vulnerabilidad de Zero-Day revelada, identificada como CVE-2023-7102, se debe a una debilidad en la biblioteca de terceros Spreadsheet: ParseExcel utilizada por el escáner de virus Amavis que se ejecuta en los dispositivos Barracuda ESG. Explotar esta falla permite a los atacantes ejecutar código arbitrario en dispositivos ESG no parcheados a través de la inyección de parámetros.
Barracuda también asignó el identificador CVE-2023-7101 para rastrear por separado la falla en la biblioteca de código abierto, la cual aún está esperando un parche.
En un aviso emitido el 24 de diciembre, Barracuda aseguró a los clientes que no se requiere ninguna acción inmediata por su parte y que la investigación está en curso. La compañía, en colaboración con Mandiant, atribuye esta actividad a las operaciones continuas del actor chino rastreado como UNC4841.
Este incidente marca el segundo ataque de Zero-Day por parte del mismo grupo de piratería este año. En mayo, UNC4841 utilizó otro Zero-Day (CVE-2023-2868) para atacar los dispositivos Barracuda ESG como parte de una campaña de ciberespionaje. Barracuda reveló que el Zero-Day había sido utilizado durante al menos siete meses, desplegando malware previamente desconocido y exfiltrando datos de sistemas comprometidos.
Durante estos ataques, se desplegaron SeaSpy, Saltwater y la herramienta maliciosa SeaSide para obtener acceso remoto a través de shells inversos. Posteriormente, se utilizó el malware Submarine (también conocido como DepthCharge) y Whirlpool para mantener la persistencia en un pequeño número de dispositivos previamente comprometidos en redes de alto valor.
La motivación de los atacantes era el espionaje, con UNC4841 centrándose en la exfiltración dirigida desde redes comprometidas, afectando principalmente a usuarios gubernamentales y de tecnología de alto perfil. Mandiant informó que casi un tercio de los dispositivos hackeados en la campaña de mayo pertenecían a agencias gubernamentales, especialmente entre octubre y diciembre de 2022.
Tras los ataques de mayo, Barracuda emitió advertencias a los clientes, aconsejándoles que reemplazaran de inmediato todos los dispositivos comprometidos, incluso aquellos que ya habían sido parcheados (aproximadamente el 5% de todos los dispositivos fueron comprometidos en los ataques). Los productos de Barracuda son utilizados por más de 200,000 organizaciones en todo el mundo, incluyendo grandes empresas como Samsung, Kraft Heinz, Mitsubishi y Delta Airlines
