Federal Soruşturma Bürosu, kritik bir Barracuda E -posta Güvenlik Ağ Geçidi (ESG) uzaktan komut enjeksiyon kusurunun yamalarının "etkisiz" olduğu ve devam eden saldırılarda yamalı cihazların hala tehlikeye atıldığı konusunda uyardı.
CVE-2023-2868 olarak izlenen güvenlik açığı, ilk olarak Ekim 2022'de arka kapı ESG cihazlarına ve tehlikeye atılan sistemlerden verileri çaldı.
Saldırganlar, uzaktan erişim için ters kabuklar oluşturmak için daha önce bilinmeyen kötü amaçlı yazılım, deniz ve tuzlu su ve kötü amaçlı bir araç olan sahil kullandı.
CISA, o zamandan beri aynı saldırılarda konuşlandırılan Submariner ve Whirlpool kötü amaçlı yazılım hakkında daha fazla bilgi paylaştı. ABD Siber Güvenlik Ajansı ayrıca, 27 Mayıs'ta Wild'da aktif olarak sömürülen böcek kataloğuna hata ekledi ve federal kurumları ihlal kanıtı için ağlarını kontrol etmeleri için uyardı.
Barracuda, tüm cihazları uzaktan yamalı ve saldırganların 20 Mayıs'ta, hata tespit edildikten bir gün sonra 20 Mayıs'ta ihlal edilen cihazlara erişimini engellemesine rağmen, 7 Haziran'da tüm müşterileri hemen etkilenen tüm cihazları değiştirmeleri gerektiği konusunda uyardı, çünkü muhtemelen Saldırılarda konuşlandırılan kötü amaçlı yazılımların tamamen kaldırılmasını sağlayamadı.
Mantiant daha sonra Barracuda ESG cihazlarını hedefleyen veri-hırsızlığı kampanyasını CVE-2023-2868 istismarlarını kullanarak şüpheli bir Çin yanlısı hack grubu olarak tanımlanan UNC4841 tehdit grubuna bağladı.
FBI, Barracuda'nın müşterilere, Hacked cihazları acilen izole etmeleri ve değiştirmeleri gerektiği konusunda uyardı, Çinli bilgisayar korsanlarının hala aktif olarak kırılganlıktan yararlandığını ve hatta yamalı cihazların "etkisiz" yamalar nedeniyle uzlaşma riski altında olduğunu söyledi.
Federal Kolluk Ajansı Çarşamba günü yayınlanan bir uyarıda [PDF], "FBI, etkilenen tüm ESG cihazlarının hemen izole edilmesini ve değiştirilmesini şiddetle tavsiye ediyor ve tüm ağlar derhal uzlaşma göstergelerinin sağlanan listesine bağlantılar için tarandı."
"Bu CVE'ye yanıt olarak Barracuda tarafından salınan yamalar etkisizdi. FBI aktif müdahaleleri gözlemlemeye devam ediyor ve etkilenen tüm Barracuda ESG cihazlarının bu istismara karşı ödün verilmesini ve savunmasız olduğunu düşünüyor.
Diyerek şöyle devam etti: "FBI, Barracuda tarafından itilen yamalara sahip olanların bile, tüm sömürülen ESG aletlerinin, bu kırılganlıktan şüphelenilen şüpheli PRC siber aktörlerinden uzlaşmaya devam etme riski altında kaldığını doğruladı."
Ayrıca, ajans Barracuda müşterilerine, danışmanlıkta paylaşılan uzlaşma göstergeleri (IOC'ler) listesinde IP'lere giden bağlantıları tarayarak potansiyel ek ihlaller için ağlarını araştırmalarını tavsiye etti.
Barracuda cihazlarıyla (örn. Active Directory Alan Admin) kurumsal olarak ayrıcalıklı kimlik bilgilerini kullananların, saldırganların ağ kalıcılığını sürdürme girişimlerini engellemek için iptal etmeleri ve döndürmeleri çağrıldı.
Barracuda, güvenlik ürünlerinin Samsung, Delta Airlines, Mitsubishi ve Kraft Heinz gibi yüksek profilli şirketler de dahil olmak üzere dünya çapında 200.000'den fazla kuruluş tarafından kullanıldığını söylüyor.
FBI: Lazarus Hacker'ları çalınan kriptoda 41 milyon dolar para kazanmaya hazır
Ivanti yeni aktif olarak sömürülen mobileon sıfır gün hatası konusunda uyarıyor
FBI, kriptolarınızı çalmak için NFT geliştiricileri olarak poz veren dolandırıcıları uyarıyor
CISA: Hacked Barracuda ESG Aletleri'nde bulunan yeni denizaltı kötü amaçlı yazılım
CISA, Govt ajanslarına pencereleri ve ofis sıfır günlerini azaltmasını emreder
Kaynak: Bleeping Computer