Barracuda, azienda specializzata in sicurezza di rete e email, ha recentemente annunciato di aver corretto una vulnerabilità zero-day sfruttata da APT cinesi, identificati come UNC4841. La falla, tracciata come CVE-2023-7102, è stata risolta con un aggiornamento remoto su tutti gli apparecchi Email Security Gateway (ESG) attivi il 21 dicembre.
Dettagli della Vulnerabilità e degli Attacchi
La vulnerabilità zero-day era dovuta a una debolezza nella libreria di terze parti Spreadsheet::ParseExcel, utilizzata dallo scanner antivirus Amavis sui dispositivi ESG di Barracuda. Gli aggressori potevano sfruttare questa falla per eseguire codice arbitrario sugli apparecchi ESG non aggiornati attraverso l’iniezione di parametri.
Risposta di Barracuda agli Attacchi
Dopo aver identificato l’attacco, Barracuda ha distribuito una seconda ondata di aggiornamenti di sicurezza il giorno successivo sugli apparecchi ESG già compromessi, dove gli attaccanti avevano distribuito i malware SeaSpy e Saltwater. Inoltre, Barracuda ha collaborato con Mandiant per attribuire queste attività al gruppo di hacker cinesi UNC4841.
Consigli per le Organizzazioni
Barracuda consiglia alle organizzazioni che utilizzano la libreria Spreadsheet::ParseExcel nei propri prodotti o servizi di rivedere il CVE-2023-7101 e di adottare tempestivamente misure di rimedio. La società ha anche avvertito che non è richiesta alcuna azione da parte dei clienti al momento, poiché l’indagine è ancora in corso.
Contesto e Implicazioni
Questo non è il primo attacco zero-day di quest’anno contro gli apparecchi ESG di Barracuda. A maggio, lo stesso gruppo di hacker aveva utilizzato un’altra vulnerabilità zero-day (CVE-2023-2868) come parte di una campagna di cyber-spionaggio. Quasi un terzo degli apparecchi hackerati in quella campagna apparteneva ad agenzie governative, la maggior parte tra ottobre e dicembre 2022.
Barracuda, con oltre 200.000 organizzazioni clienti in tutto il mondo, tra cui aziende di primo piano come Samsung, Kraft Heinz, Mitsubishi e Delta Airlines, dimostra il suo impegno nella lotta contro le minacce informatiche. La risposta tempestiva e proattiva dell’azienda a questi attacchi zero-day sottolinea l’importanza di una vigilanza costante e di aggiornamenti di sicurezza efficaci nel panorama della sicurezza informatica.