Las organizaciones que operan los dispositivos Email Security Gateway (ESG) de Barracuda Networks vulnerables a un error rastreado como CVE-2023-2868 para desechar su hardware, independientemente de si lo han parcheado o no, y buscar un reemplazo.
Barracuda puso a disposición un parche el 20 de mayo después de haber sido alertado sobre el tráfico dudoso que emanaba de los dispositivos ESG comprometidos el 18 de mayo, pero ahora parece que el parche ha resultado insuficiente.
“Los dispositivos ESG afectados deben reemplazarse de inmediato, independientemente del nivel de versión del parche”, dijo la organización en un comunicado.
“Si no ha reemplazado su dispositivo después de recibir un aviso en su interfaz de usuario, comuníquese con el soporte ahora. La recomendación de remediación de Barracuda en este momento es el reemplazo total del ESG afectado”, dijo.
Identificada y divulgada por primera vez en mayo de 2023, CVE-2023-2868 es una vulnerabilidad de inyección de comando remoto presente en las versiones 5.1.3.001 a 9.2.0.006 de dispositivos físicos ESG. Permite a un atacante lograr la ejecución remota de código (RCE) con privilegios elevados, y la investigación del proveedor descubrió que se ha explotado activamente desde octubre de 2022.
Con la ayuda de Mandiant de Google Cloud, la investigación de Barracuda determinó que la vulnerabilidad se usó para obtener acceso no autorizado a un subconjunto de cajas ESG, en las que se colocaron dos malware de puerta trasera denominados Saltwater y Seaspy, seguidos de un módulo llamado Seaside que monitoreó el tráfico entrante y estableció un cáscara inversa.
La vulnerabilidad demostró ser lo suficientemente grave como para que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) la agregue a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), que exige la aplicación de parches en todo el gobierno de EE. UU.
“El paso del parche al reemplazo total de los dispositivos afectados es bastante sorprendente e implica que el malware que implementaron los atacantes de alguna manera logra la persistencia a un nivel lo suficientemente bajo como para que incluso borrar el dispositivo no erradique el acceso de los atacantes”, dijo Caitlin Condon, gerente sénior de investigación de vulnerabilidades en Rapid7.
Condon dijo que puede haber hasta 11 000 dispositivos ESG expuestos a la Internet pública y reveló que los equipos de Rapid7 habían identificado volúmenes significativos de actividad maliciosa en un plazo consistente con la evaluación de Barracuda: la comunicación más reciente con la infraestructura del actor de amenazas se observó en mayo. 2023.
Agregó que, en algunos casos, Rapid7 había observado una posible filtración de datos de redes comprometidas, pero que el equipo aún no había observado ningún movimiento lateral desde un dispositivo comprometido.
Además de desconectar los dispositivos vulnerables, también se recomienda a los usuarios que roten las credenciales que puedan haber estado conectadas a él, incluido cualquier Protocolo ligero de acceso a directorios/Directorio activo, Barracuda Cloud Control, servidor de protocolo de transferencia de archivos (FTP), bloque de mensajes del servidor ( SMB) y certificados de seguridad de capa de transporte privada (TLS).