La société de cybersécurité et filiale de Google Cloud, Mandiant, a annoncé des soupçons selon lesquels des espions soutenus par la Chine auraient pu être à l’origine de l’exploitation d’une vulnérabilité zero-day dans Barracuda Email Security Gateway (ESG).
Les chercheurs ont suivi les attaques contre un acteur du lien avec la Chine qui semble avoir mené de l’espionnage « dans une multitude de régions et de secteurs », y compris le gouvernement américain.
L’annonce détaille comment l’attaquant, dont le nom de code est UNC4841, a envoyé des e-mails contenant des fichiers malveillants à des organisations cibles qui exploiteraient CVE-2023-2868 afin d’obtenir un accès initial aux appliances Barracuda ESG vulnérables.
Des espions chinois pourraient être à l’origine de l’attaque du Barracuda ESG
La description CVE détaille la vulnérabilité qui a affecté les versions 5.1.3.001-9.2.0.006 :
« Un attaquant distant peut spécifiquement formater [.tar] noms de fichiers d’une manière particulière qui entraînera l’exécution à distance d’une commande système via l’opérateur qx de Perl avec les privilèges du produit Email Security Gateway.
Selon les agents de sécurité, les secteurs public et privé ont été ciblés, plus de la moitié (55 %) se trouvant dans les Amériques. Les autres provenaient à parts presque égales des régions EMEA et APAC, les attaques montrant une focalisation claire « sur des questions qui sont des priorités politiques élevées pour le [People’s Republic of China].”
Le correctif BNSF-36456 a été automatiquement appliqué à tous les appareils, mais des attaques auraient pu se dérouler sans être détectées d’octobre 2022 à mai 2023 – une période de plus de sept mois.
Mandiant, qui était chargé de soulever l’inquiétude, a déclaré dans un communiqué qu’il « félicite Barracuda pour ses actions décisives, sa transparence et son partage d’informations suite à l’exploitation de CVE-2023-2868 par UNC4841 ».
Néanmoins, la véritable identité de l’UNC4841 n’est toujours pas confirmée, le groupe étant toujours en liberté et opérant ou développant probablement d’autres attaques et exploitant des vulnérabilités ailleurs.