Los piratas informáticos han estado explotando una vulnerabilidad de día cero en un producto de Barracuda Networks durante varios meses para atacar a innumerables organizaciones con numerosas piezas de malware, según afirman los informes.
La compañía dijo que corrigió una vulnerabilidad crítica rastreada como CVE-2023-2868, que había sido utilizada por los actores de amenazas desde octubre de 2022. El software de correo electrónico en cuestión se llama Barracuda Email Security Gateway (ESG), con versiones entre 5.1.3.001 y 9.2.0.006 siendo vulnerable.
“Los usuarios cuyos dispositivos creemos que se vieron afectados han sido notificados a través de la interfaz de usuario de ESG sobre las acciones a tomar”, dijo la compañía en un aviso de seguridad. “Barracuda también se ha acercado a estos clientes específicos. Es posible que se identifiquen clientes adicionales en el curso de la investigación”.
Tres familias de malware
Hasta ahora, Barracuda dice que ha detectado tres familias de malware que se distribuyen a través del día cero: Saltwater, Seaside y Seaspy.
El primero permite a los actores de amenazas descargar y cargar archivos y ejecutar comandos, entre otras cosas. Seaside es una puerta trasera de persistencia, mientras que la última se usa para recibir una dirección IP C2 y un puerto para establecer un shell inverso.
Para asegurarse de que su organización esté segura, debe hacer lo siguiente:
- Actualice su dispositivo ESG y asegúrese de que se parchee regularmente
- Dejar de usar el dispositivo ESG comprometido
- Alterne las credenciales del dispositivo ESG siempre que sea posible, incluido cualquier LDAP/AD conectado, Barracuda Cloud Control, servidor FTP, SMB y cualquier certificado TLS privado.
- La compañía también invita a todos los clientes que creen que pueden haber sido atacados, a comunicarse con soporte a través de [email protected].
Finalmente, las organizaciones deben revisar sus registros de red y buscar posibles indicadores de compromiso o direcciones IP desconocidas.
Según la base de datos nacional de vulnerabilidades, la falla es una vulnerabilidad de inyección de comandos remotos que surge cuando el dispositivo no logra desinfectar de manera integral el procesamiento de archivos .tar (archivos de cinta). En otras palabras, formatear los nombres de los archivos de una manera específica permite a los atacantes ejecutar comandos del sistema.