[08/06/2023] La empresa de seguridad empresarial Barracuda ha advertido a sus clientes que no utilicen dispositivos de puerta de enlace de seguridad de correo electrónico (ESG, por sus siglas en inglés) afectados por una vulnerabilidad de día cero recientemente revelada y que los sustituyan inmediatamente.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Un parche para la vulnerabilidad, que ha sido explotada desde octubre del 2022, había sido publicado por Barracuda el mes pasado para evitar que el exploit permitiera el backdooring de ESG.
"La vulnerabilidad existía en un módulo que inicialmente examina los archivos adjuntos de los correos electrónicos entrantes", había dicho la compañía anteriormente. "Ningún otro producto de Barracuda, incluidos nuestros servicios de seguridad de correo electrónico SaaS, estaba sujeto a la vulnerabilidad identificada".
Los usuarios cuyos dispositivos Barracuda creía afectados están siendo notificados a través de la interfaz de usuario ESG de las acciones a tomar. Barracuda también se ha puesto en contacto con estos clientes específicos.
Se aconseja la sustitución a pesar de los parches
La vulnerabilidad, denominada CVE-2023-2868, se identificó el 19 de mayo del 2023 y, según los informes, afectaba a las versiones 5.1.3.001 a 9.2.0.006, lo que permitía a un atacante remoto lograr la ejecución de código en instalaciones susceptibles.
En consecuencia, Barracuda publicó parches los días 20 y 21 de mayo para todos los dispositivos ESG del mundo. En la última actualización sobre el incidente, sin embargo, la compañía ha aconsejado reemplazar el dispositivo independientemente de su estado de parche.
"Los dispositivos ESG impactados deben ser reemplazados inmediatamente, independientemente del nivel de versión del parche", señaló la compañía en una actualización, añadiendo que su "recomendación de remediación en este momento es un reemplazo completo del ESG impactado".
Malware de múltiples cepas
Según la empresa, hasta la fecha se han descubierto tres cepas diferentes de malware en un subconjunto de dispositivos que permiten el acceso persistente por una puerta trasera. Se han identificado pruebas de filtración de datos en un subconjunto de dispositivos afectados, según informó la empresa en una actualización anterior.
Las diferentes cepas utilizadas -SALTWATER, SEASPY y SEASIDE- eran módulos de puerta trasera que afectaban a la filtración de datos. Mientras que tanto SALTWATER como SEASIDE ayudan a establecer un hack para el demonio SMTP de Barracuda (bsmtpd) equipado para cargar y descargar archivos arbitrarios, ejecutar comandos y tunelizar tráfico malicioso, SEASPY es un backdoor x64 en formato ejecutable y enlazable (ELF) que ofrece capacidades de persistencia, activado a través de un paquete magic (remoto, wake-on-LAN).
Mandiant, la empresa de inteligencia en ciberseguridad propiedad de Google que investiga el incidente, ha revelado solapamientos de código fuente entre SEASPY y un backdoor de código abierto llamado cd00r. Los ataques no se han atribuido a ningún actor o grupo de amenazas conocido.
Basado en el artículo de Shweta Sharma (CSO) y editado por CIO Perú