Les pirates exploitent depuis plusieurs mois une vulnérabilité zero-day dans un produit Barracuda Networks pour cibler d’innombrables organisations avec de nombreux logiciels malveillants, selon des rapports.
La société a déclaré avoir corrigé une vulnérabilité critique identifiée comme CVE-2023-2868, qui était utilisée par les acteurs de la menace depuis octobre 2022. Le logiciel de messagerie en question s’appelle Barracuda Email Security Gateway (ESG), avec des versions comprises entre 5.1.3.001 et 9.2.0.006 étant vulnérable.
« Les utilisateurs dont nous pensons que les appareils ont été impactés ont été informés via l’interface utilisateur ESG des mesures à prendre », a déclaré la société dans un avis de sécurité. « Barracuda a également contacté ces clients spécifiques. D’autres clients pourraient être identifiés au cours de l’enquête.
Trois familles de logiciels malveillants
Jusqu’à présent, Barracuda dit avoir repéré trois familles de logiciels malveillants distribués via le jour zéro : Saltwater, Seaside et Seaspy.
Le premier permet aux acteurs de la menace de télécharger et de télécharger des fichiers et d’exécuter des commandes, entre autres. Seaside est une porte dérobée de persistance, tandis que cette dernière est utilisée pour recevoir une adresse IP C2 et un port pour établir un shell inversé.
Pour vous assurer que votre organisation est sûre, vous devez procéder comme suit :
- Mettez à jour votre appliance ESG et assurez-vous qu’elle est régulièrement corrigée
- Arrêtez d’utiliser l’appliance ESG compromise
- Faites pivoter les informations d’identification de l’appliance ESG dans la mesure du possible, y compris tout LDAP/AD connecté, Barracuda Cloud Control, serveur FTP, SMB et tout certificat TLS privé.
- La société invite également tous les clients qui pensent avoir été ciblés à contacter l’assistance via [email protected].
Enfin, les organisations doivent examiner leurs journaux réseau et rechercher d’éventuels indicateurs de compromission ou d’adresses IP inconnues.
Selon la base de données nationale sur les vulnérabilités, la faille est une vulnérabilité d’injection de commande à distance survenant lorsque l’appliance ne parvient pas à nettoyer complètement le traitement des fichiers .tar (archives sur bande). En d’autres termes, le formatage des noms de fichiers d’une manière spécifique permet aux attaquants d’exécuter des commandes système.