警惕:Barracuda Email Security Gateway 存在重大安全隐患

关键要点

  • FBI 警告 Barracuda 客户立即停止使用受影响的 Email Security Gateway(ESG)设备。
  • 此漏洞源于一个被称为 UNC4841 的新威胁组织,可能与中国有关。
  • Barracuda 虽已发布补丁,但 FBI 宣布这些补丁并未有效解决问题。
  • 建议用户检查网络日志,确保安全并防止未来的攻击。

Barracuda 客户目前仍在使用其受漏洞影响的 (ESG),应立即停止该设备的运行,这是 FBI 的警告。

全球有大量 ESG 设备在5月份遭遇了零日攻击,这次攻击归因于一个之前未知的威胁组织,,该组织被怀疑与中国有关。

Barracuda 已推出针对关键远程命令注入漏洞的补丁
(),并采取了不寻常的措施,通知客户将更换任何受影响的设备。

FBI 的网络部在周三更进一步,在一项
(PDF)中表示,“Barracuda客户应立即移除所有 ESG 设备”,因为“Barracuda 对此 CVE 发布的补丁无效”。

该局表示,已“独立验证所有受攻击的 ESG 设备,即使已推送补丁,仍面临来自怀疑为中方网络攻击者的继续网络入侵风险。”

UNC4841 已知从部分受影响系统中窃取数据,尤其侧重于公共部门。巴拉库达在6月表示,约一半的受影响设备位于美国。这也可能解释了 FBI警告的强烈程度,已知攻击受害者中近三分之一为 。

“FBI 继续观察到活跃的入侵,并认为所有受影响的 Barracuda ESG 设备都已被攻破,并易受此漏洞影响,”该通告指出。

本月早些时候,网络安全和基础设施安全局(CISA)发布了一种名为 的新后门恶意软件,作为与此漏洞相关的第三种新型后门变体。

ESG 漏洞允许对手发送包含恶意附件的电子邮件到目标组织。当 ESG 扫描该附件时,会与攻击者控制的域或 IP 地址建立连接。随后会建立一个反向
shell,允许进一步执行远程命令。

除了数据泄露,UNC4841 的利用还允许其进行电子邮件扫描、凭证窃取,并获得对受害者系统的持续访问权限。

FBI 列出了七个域和61个 IP 地址作为妥协指标。该局表示,威胁行为者使用“反取证技术”来隐藏其在被攻陷系统上的活动,令安全团队仅通过扫描设备 IOCs难以发现任何入侵。

“因此,网络管理员必须扫描各种网络日志,以查找与任何列出的指标的连接,”通告强调。

Krebs on Security 创始人 Brian Krebs 在一则简短的 中总结了这一情况。

“FBI 表示,它仍在看到 Barracuda 的电子邮件安全网关设备通过导致 Barracuda 在2023年6月提出更换(而非打补丁)一系列 ESG设备的漏洞而被积极攻破,”Krebs 发表道。“FBI 确认了 Mandiant 的中国关联,并说明只需

Leave a Reply

Your email address will not be published. Required fields are marked *