La Oficina Federal de Investigaciones (FBI) de Estados Unidos advierte que los dispositivos Email Security Gateway (ESG) de Barracuda Networks parcheados contra una falla crítica recientemente revelada, continúan en riesgo de un posible compromiso por parte de presuntos grupos de hackers chinos.
También consideró las correcciones como “ineficaces” y que “continúa observando intrusiones activas y considera que todos los dispositivos Barracuda ESG afectados están comprometidos y son vulnerables a este exploit”.
Rastreado como CVE-2023-2868 (puntuación CVSS: 9.8), se dice que el error de día cero se armó ya en octubre de 2022, más de siete meses antes de que se tapara el agujero de seguridad. Mandiant, propiedad de Google, está rastreando el clúster de actividad del nexo entre China bajo el nombre UNC4841.
La vulnerabilidad de inyección remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecución no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.
En los ataques observados hasta ahora, una violación exitosa actúa como un conducto para desplegar múltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (también conocido como DEPTHCHARGE) que permiten la ejecución de comandos arbitrarios y la evasión de defensa.
“Los actores cibernéticos utilizaron esta vulnerabilidad para insertar cargas maliciosas en el dispositivo ESG con una variedad de capacidades que permitieron el acceso persistente, el escaneo de correo electrónico, la recolección de credenciales y la exfiltración de datos”, dijo el FBI.
La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y hábil, demostrando un don para la sofisticación y adaptando rápidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su punto de apoyo en objetivos de alta prioridad.
La agencia federal recomienda a los clientes que aíslen y reemplacen todos los dispositivos ESG afectados con efecto inmediato, y escaneen las redes en busca de tráfico saliente sospechoso.
