Barracuda insta a sus clientes a sustituir “inmediatamente” los dispositivos vulnerables
El parche para una vulnerabilidad, que ha sido explotada desde octubre de 2022, había sido publicado por Barracuda el mes pasado para detener el exploit que permite el backdooring de ESG.
La empresa de seguridad empresarial Barracuda ha advertido a sus clientes que no utilicen dispositivos de puerta de enlace de seguridad del correo electrónico (ESG) afectados por una vulnerabilidad de día cero recientemente revelada. En este sentido les ha instado con vehemencia a sustituirlos “inmediatamente”. El parche para la vulnerabilidad, que ha sido explotada desde octubre de 2022, había sido publicado por Barracuda el mes pasado para evitar que el exploit permitiera el backdooring de ESG.
"La vulnerabilidad existía en un módulo que inicialmente examina los archivos adjuntos de los correos electrónicos entrantes", había dicho la compañía anteriormente. "Ningún otro producto de Barracuda, incluidos nuestros servicios de seguridad de correo electrónico SaaS, estaba sujeto a la vulnerabilidad identificada". Así, los usuarios cuyos dispositivos Barracuda se creían afectados, están siendo notificados a través de la interfaz de usuario ESG de las acciones a tomar. Barracuda también se ha puesto en contacto con estos clientes específicos.
Se aconseja la sustitución total del dispositivo
La vulnerabilidad, denominada CVE-2023-2868, se identificó el 19 de mayo de 2023 y, según los informes, afectaba a las versiones 5.1.3.001 a 9.2.0.006, lo que permitía a un atacante remoto lograr la ejecución de código en instalaciones susceptibles. En consecuencia, Barracuda publicó parches los días 20 y 21 de mayo para todos los dispositivos ESG a escala global; es decir, en todo el mundo. En la última actualización sobre el incidente, sin embargo, la compañía ha aconsejado reemplazar el dispositivo independientemente de su estado de parche. "Los dispositivos ESG impactados deben ser reemplazados inmediatamente independientemente del nivel de versión del parche", dijo la compañía en una actualización, añadiendo que su "recomendación de remediación en este momento es un reemplazo completo del ESG impactado”.
‘Malware’ de múltiples cepas
Según la empresa, hasta la fecha se han descubierto tres cepas diferentes de malware en un subconjunto de dispositivos que permiten el acceso persistente por una puerta trasera. Además, se han identificado pruebas de filtración de datos en un subconjunto de dispositivos afectados, según informó la empresa en una actualización anterior.
Las diferentes cepas utilizadas -Saltwater, Seaspy y Seaside- eran módulos de puerta trasera que afectaban a la filtración de datos. Mientras que tanto Saltwater como Seaside ayudan a establecer un hack para el daemon SMTP de Barracuda (bsmtpd) equipado para cargar y descargar archivos arbitrarios, ejecutar comandos y tunelizar tráfico malicioso, Seasspy es un backdoor x64 en formato ejecutable y enlazable (ELF) que ofrece capacidades de persistencia, activado a través de un paquete mágico (remoto, wake-on-LAN).
Mandiant, la empresa de inteligencia en ciberseguridad propiedad de Google que investiga el incidente, ha revelado solapamientos de código fuente entre SEASPY y un backdoor de código abierto llamado cd00r. Los ataques no se han atribuido a ningún actor o grupo de amenazas conocido.
