Компания Barracuda Networks, специализирующаяся на безопасности сетей и email, сообщила, что на прошлой неделе удаленно исправила в Email Security Gateway (ESG) уязвимость нулевого дня, которую уже активно атаковали китайские хакеры из группы UNC4841. Также компания развернула вторую волну патчей для уже скомпрометированных устройств ESG, на которых злоумышленники успели развернуть малварь SeaSpy и Saltwater.
Уязвимость, обнаруженная в канун Рождества, получила идентификатор CVE-2023-7102 и оказалась связана с багом в сторонней библиотеке Spreadsheet::ParseExcel, используемой вирусным сканером Amavis, работающим на Barracuda ESG.
Сообщается, что злоумышленники могут использовать эту проблему для выполнения произвольного кода на непропатченных устройствах ESG с помощью инъекции параметров.
Уязвимости в опенсорсной библиотеке должен быть присвоен отдельный идентификатор, CVE-2023-7101, но эта проблема пока только ожидает исправления.
Специалисты Barracuda сообщают, что сотрудничают со специалистами компании Mandiant и уверены, что вредоносная активность связана с продолжающимися атаками китайской группировки UNC4841.
«На данный момент от наших клиентов не требуется никаких дополнительных действий, но расследование продолжается, — сообщают представители компании. — Мы рекомендуем организациям, использующим Spreadsheet::ParseExcel в своих продуктах и сервисах, ознакомиться с информацией о CVE-2023-7101 и незамедлительно принять необходимые для исправления ситуации меры».
Напомним, что весной текущего года в продуктах Barracuda Networks уже патчили 0-day уязвимость CVE-2023-2868, которой хакеры пользовались более полугода. Хотя в итоге для проблемы были выпущены исправления, после этого производитель и ФБР неожиданно заявили, что клиентам все равно следует прекратить использование взломанных ESG, срочно изолировать их и как можно скорее заменить, даже если они получили патчи.
Как стало известно позже, эту уязвимость так же использовали китайские хакеры из группы UNC4841. Тогда ИБ-эксперты Mandiant нашли на атакованных устройствах три образца малвари:
Также выяснилось, что в атаках использовались вредоносы Submariner (он же DepthCharge) и Whirlpool. В итоге Агентство кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость в свой каталог активно эксплуатируемых, предупредив федеральные ведомства о необходимости проверить свои сети на предмет нарушений. Дело в том, что 0-day и активно использовалась для атак на правительственные и связанные с правительствами организации по всему миру.
Уязвимость, обнаруженная в канун Рождества, получила идентификатор CVE-2023-7102 и оказалась связана с багом в сторонней библиотеке Spreadsheet::ParseExcel, используемой вирусным сканером Amavis, работающим на Barracuda ESG.
Сообщается, что злоумышленники могут использовать эту проблему для выполнения произвольного кода на непропатченных устройствах ESG с помощью инъекции параметров.
Уязвимости в опенсорсной библиотеке должен быть присвоен отдельный идентификатор, CVE-2023-7101, но эта проблема пока только ожидает исправления.
Специалисты Barracuda сообщают, что сотрудничают со специалистами компании Mandiant и уверены, что вредоносная активность связана с продолжающимися атаками китайской группировки UNC4841.
«На данный момент от наших клиентов не требуется никаких дополнительных действий, но расследование продолжается, — сообщают представители компании. — Мы рекомендуем организациям, использующим Spreadsheet::ParseExcel в своих продуктах и сервисах, ознакомиться с информацией о CVE-2023-7101 и незамедлительно принять необходимые для исправления ситуации меры».
Напомним, что весной текущего года в продуктах Barracuda Networks уже патчили 0-day уязвимость CVE-2023-2868, которой хакеры пользовались более полугода. Хотя в итоге для проблемы были выпущены исправления, после этого производитель и ФБР неожиданно заявили, что клиентам все равно следует прекратить использование взломанных ESG, срочно изолировать их и как можно скорее заменить, даже если они получили патчи.
Как стало известно позже, эту уязвимость так же использовали китайские хакеры из группы UNC4841. Тогда ИБ-эксперты Mandiant нашли на атакованных устройствах три образца малвари:
- SALTWATER — троянизированный модуль для демона Barracuda SMTP (bsmtpd), способный загружать и скачивать произвольные файлы, выполнять команды, а также проксировать и туннелировать вредоносный трафик для большей скрытности;
- SEASPY — бэкдор в формате ELF x64, способный закрепиться в системе и активируемый с помощью magic-пакета;
- SEASIDE — модуль на основе Lua для bsmtpd, устанавливающий реверс-шеллы посредством команд SMTP HELO/EHLO, получаемых через C&C-сервер вредоносной программы.
Также выяснилось, что в атаках использовались вредоносы Submariner (он же DepthCharge) и Whirlpool. В итоге Агентство кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость в свой каталог активно эксплуатируемых, предупредив федеральные ведомства о необходимости проверить свои сети на предмет нарушений. Дело в том, что 0-day и активно использовалась для атак на правительственные и связанные с правительствами организации по всему миру.
