La firma de ciberseguridad y subsidiaria de Google Cloud, Mandiant, ha Anunciado sospechas de que espías respaldados por China podrían haber estado detrás de la explotación de una vulnerabilidad de día cero en Barracuda Email Security Gateway (ESG).
Los investigadores han rastreado los ataques a un actor del nexo entre China que parece haber estado realizando espionaje “que abarca una multitud de regiones y sectores”, incluido el gobierno de EE. UU.
El anuncio detalla cómo el atacante, con nombre en código UNC4841, envió correos electrónicos que contenían archivos maliciosos a organizaciones objetivo que explotarían CVE-2023-2868 para obtener acceso inicial a dispositivos Barracuda ESG vulnerables.
Espías chinos podrían estar detrás del ataque Barracuda ESG
La descripción de CVE detalla la vulnerabilidad que afectó a las versiones 5.1.3.001-9.2.0.006:
“Un atacante remoto puede formatear específicamente [.tar] nombres de archivo de una manera particular que resultará en la ejecución remota de un comando del sistema a través del operador qx de Perl con los privilegios del producto Email Security Gateway”.
Según los trabajadores de seguridad, los sectores público y privado fueron atacados, con más de la mitad (55%) en las Américas. El resto provino en partes casi iguales de las regiones EMEA y APAC, y los ataques mostraron un claro enfoque “en temas que son de alta prioridad política para el [People’s Republic of China].”
El parche BNSF-36456 se aplicó automáticamente a todos los dispositivos; sin embargo, es posible que los ataques no se hayan detectado desde octubre de 2022 hasta mayo de 2023, un período de más de siete meses.
Mandiant, quien fue responsable de plantear la preocupación, dijo en un comunicado que “elogia a Barracuda por sus acciones decisivas, transparencia e intercambio de información luego de la explotación de CVE-2023-2868 por parte de UNC4841”.
No obstante, la verdadera identidad de UNC4841 sigue sin confirmarse, con el grupo aún en libertad y probablemente operando o desarrollando otros ataques y explotando vulnerabilidades en otros lugares.