L’azienda di sicurezza aziendale nota come Barracuda, ha rivelato martedì che una f0alla zero-day recentemente corretta nei suoi dispositivi Email Security Gateway (ESG) è stata sfruttata da autori ignoti a partire da ottobre 2022 per inserire backdoor nei dispositivi.
Le ultime scoperte mostrano che la vulnerabilità critica, identificata come CVE-2023-2868 (punteggio CVSS: non classificabile), è stata attivamente sfruttata per almeno sette mesi prima della sua scoperta.
La falla, identificata da Barracuda il 19 maggio 2023, interessa le versioni 5.1.3.001 fino alla 9.2.0.006 e potrebbe consentire a un hacker da remoto di eseguire codice sulle installazioni vulnerabili, Barracuda ha rilasciato delle patch il 20 e 21 maggio.
Come si è espressa Barracuda a riguardo
“Il CVE-2023-2868 è stato utilizzato per ottenere accesso non autorizzato a un sottoinsieme dei dispositivi ESG“, ha dichiarato l’azienda di sicurezza di rete ed email in una nota informativa aggiornata, aggiungendo, “È stato identificato un malware su un sottoinsieme di dispositivi, consentendo un accesso backdoor persistente. Sono state riscontrate prove di esfiltrazione di dati su un sottoinsieme di dispositivi colpiti“.
Finora sono stati scoperti tre diversi ceppi di malware:
- SALTWATER – Un modulo trojanizzato per l’SMTP di Barracuda (bsmtpd) che è in grado di caricare o scaricare file malevoli, eseguire comandi poco “raccomandabili” e trasferire traffico dannoso attraverso proxy e tunnel per passare inosservato;
- SEASPY – Una backdoor ELF x64 che offre capacità di persistenza ed è attivato tramite un pacchetto particolare;
- SEASIDE – Un modulo basato su Lua per bsmtpd che stabilisce reverse shell tramite comandi SMTP HELO/EHLO inviati tramite il server di comando e controllo (C2) del malware.
Sono state identificate delle sovrapposizioni di codice sorgente tra SEASPY e una backdoor open source chiamato cd00r, secondo Mandiant di proprietà di Google, che sta investigando sull’incidente. Gli attacchi non sono stati attribuiti ad attori noti (esempio: gruppo ATP, per dirne uno).
Aggiornamenti da parte della CISA statunitense
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, la scorsa settimana, ha aggiunto il bug anche al suo catalogo di Vulnerabilità Sfruttate Conosciute (KEV), invitando le agenzie federali ad applicare le correzioni entro il 16 giugno 2023.
Barracuda non ha rivelato quante organizzazioni siano state compromesse, ma ha precisato che sono state contattate direttamente fornendo indicazioni per la mitigazione. Ha anche avvertito che l’indagine in corso potrebbe scoprire ulteriori utenti che potrebbero essere stati colpiti.