Ciberseguridad 360 | FBI: Barracuda ESG sigue vulnerable

La Oficina Federal de Investigaci�n de Estados Unidos (FBI) advierte de que los dispositivos Barracuda Networks Email Security Gateway (ESG) parcheados contra un fallo cr�tico recientemente revelado siguen estando en riesgo de ser comprometidos por presuntos grupos de hackers chinos.

Tambi�n considera que las correcciones son "ineficaces" y que "sigue observando intrusiones activas y considera que todos los dispositivos ESG de Barracuda afectados est�n comprometidos y son vulnerables a este exploit".

Mandiant, propiedad de Google, est� rastreando al grupo vinculado con China bajo el nombre UNC4841.

Seg�n Mandiant , a partir del 10 de octubre de 2022, el grupo UNC4841 envi� correos electr�nicos de phishing a organizaciones v�ctimas. El correo electr�nico conten�a un archivo adjunto armado dise�ado para explotar la falla CVE-2023-2868(puntuaci�n CVSS: 9,8) para acceder a dispositivos Barracuda ESG vulnerables.

Una vez comprometido el dispositivo ESG, se observ� que UNC4841 robaba datos espec�ficos de inter�s y, en algunos casos, los atacantes utilizaron el acceso al dispositivo para movimiento lateral o para enviar correo a otros dispositivos v�ctimas. Los actores de amenazas tambi�n implementaron herramientas adicionales para mantener su presencia en los dispositivos ESG.

La vulnerabilidad de inyecci�n remota de comandos, que afecta a las versiones 5.1.3.001 a 9.2.0.006, permite la ejecuci�n no autorizada de comandos del sistema con privilegios de administrador en el producto ESG.

En los ataques observados hasta ahora, una brecha exitosa act�a como conducto para desplegar m�ltiples cepas de malware como SALTWATER, SEASIDE, SEASPY, SANDBAR, SEASPRAY, SKIPJACK, WHIRLPOOL y SUBMARINE (tambi�n conocido como DEPTHCHARGE) que permiten la ejecuci�n de comandos arbitrarios y la evasi�n de defensas.

"Los hackers utilizaron esta vulnerabilidad para insertar cargas maliciosas en el dispositivo ESG con diversas funciones que permit�an el acceso persistente, el escaneado de correo electr�nico, la recolecci�n de credenciales y la extracci�n de datos", afirma el FBI.

La firma de inteligencia de amenazas ha caracterizado a UNC4841 como agresivo y h�bil, demostrando un don para la sofisticaci�n y adaptando r�pidamente sus herramientas personalizadas para emplear mecanismos de persistencia adicionales y mantener su posici�n en objetivos de alta prioridad.

La agencia federal est� recomendando a los clientes que a�slen y sustituyan todos los dispositivos ESG afectados con efecto inmediato, y que analicen las redes en busca de tr�fico saliente sospechoso.

La alerta tambi�n insta a quienes utilizaban credenciales con privilegios de empresa con sus dispositivos Barracuda a revocarlas y rotarlas para evitar que los atacantes puedan mantener la persistencia en las redes comprometidas.

Fuente: thehackernews