警惕：Barracuda Email Security Gateway 存在重大安全隐患

关键要点

Barracuda 客户目前仍在使用其受漏洞影响的（ESG），应立即停止该设备的运行，这是 FBI 的警告。

全球有大量 ESG 设备在5月份遭遇了零日攻击，这次攻击归因于一个之前未知的威胁组织，，该组织被怀疑与中国有关。

Barracuda 已推出针对关键远程命令注入漏洞的补丁
()，并采取了不寻常的措施，通知客户将更换任何受影响的设备。

FBI 的网络部在周三更进一步，在一项
（PDF）中表示，“Barracuda客户应立即移除所有 ESG 设备”，因为“Barracuda 对此 CVE 发布的补丁无效”。

该局表示，已“独立验证所有受攻击的 ESG 设备，即使已推送补丁，仍面临来自怀疑为中方网络攻击者的继续网络入侵风险。”

UNC4841 已知从部分受影响系统中窃取数据，尤其侧重于公共部门。巴拉库达在6月表示，约一半的受影响设备位于美国。这也可能解释了 FBI警告的强烈程度，已知攻击受害者中近三分之一为。

“FBI 继续观察到活跃的入侵，并认为所有受影响的 Barracuda ESG 设备都已被攻破，并易受此漏洞影响，”该通告指出。

本月早些时候，网络安全和基础设施安全局（CISA）发布了一种名为的新后门恶意软件，作为与此漏洞相关的第三种新型后门变体。

ESG 漏洞允许对手发送包含恶意附件的电子邮件到目标组织。当 ESG 扫描该附件时，会与攻击者控制的域或 IP 地址建立连接。随后会建立一个反向
shell，允许进一步执行远程命令。

除了数据泄露，UNC4841 的利用还允许其进行电子邮件扫描、凭证窃取，并获得对受害者系统的持续访问权限。

FBI 列出了七个域和61个 IP 地址作为妥协指标。该局表示，威胁行为者使用“反取证技术”来隐藏其在被攻陷系统上的活动，令安全团队仅通过扫描设备 IOCs难以发现任何入侵。

“因此，网络管理员必须扫描各种网络日志，以查找与任何列出的指标的连接，”通告强调。

Krebs on Security 创始人 Brian Krebs 在一则简短的中总结了这一情况。

“FBI 表示，它仍在看到 Barracuda 的电子邮件安全网关设备通过导致 Barracuda 在2023年6月提出更换（而非打补丁）一系列 ESG设备的漏洞而被积极攻破，”Krebs 发表道。“FBI 确认了 Mandiant 的中国关联，并说明只需