L’FBI ha emesso un avviso urgente ai proprietari di dispositivi Barracuda Email Security Gateway (ESG), avvertendo che questi dispositivi sono probabilmente sotto attacco da parte di agenti associati alla Cina. La raccomandazione dell’agenzia è di rimuovere tali dispositivi dal servizio come misura di sicurezza.
Dettagli sull’attacco
Gli aggressori stanno sfruttando la vulnerabilità CVE-2023-2868, una grave vulnerabilità di iniezione di comando remoto scoperta nel maggio 2023, ma che era stata sfruttata già nell’ottobre 2022. Dopo aver identificato il bug il 19 maggio, Barracuda ha rilasciato una patch il giorno successivo. Tuttavia, nel mese di giugno, Barracuda ha consigliato di sostituire i dispositivi, anche se erano stati correttamente aggiornati.
L’FBI ha ribadito questa raccomandazione in un recente avviso, sottolineando che “consiglia vivamente che tutti i dispositivi ESG interessati vengano isolati e sostituiti immediatamente”. L’agenzia ha aggiunto che, nonostante le patch rilasciate da Barracuda, tutti i dispositivi ESG rimangono a rischio di compromissione da parte di attori cyber sospettati di essere legati alla Repubblica Popolare Cinese.
Implicazioni dell’attacco
Gli intrusi hanno avuto notevole successo, sfruttando la vulnerabilità in un numero significativo di dispositivi ESG e iniettando payload malevoli che permettevano un accesso persistente, la scansione delle email, la raccolta di credenziali e l’esfiltrazione di dati. La campagna di spionaggio ha coinvolto email di phishing con allegati malevoli. Questi allegati, una volta analizzati dal dispositivo Barracuda, sfruttavano la vulnerabilità CVE-2023-2868, permettendo agli aggressori di comunicare con un server controllato da loro e di installare malware sui dispositivi bersaglio.
In alcuni casi, gli intrusi hanno utilizzato il dispositivo ESG infetto come punto di ingresso nelle reti delle vittime. In altre occasioni, hanno utilizzato i dispositivi Barracuda per inviare email ad altri dispositivi e infiltrarsi in altre reti.
Ulteriori dettagli e risposte
Mandiant, una società di sicurezza, aveva precedentemente attribuito gli attacchi ESG a un gruppo basato in Cina noto come UNC4841. Kevin Mandia, CEO di Mandiant, ha sottolineato che gli attacchi rappresentano un “importante cambiamento nella tradecraft da parte degli attori minacciosi legati alla Cina”. Mandiant ha collaborato con Barracuda per indagare sull’attacco e, da quando ha pubblicato il suo rapporto a giugno, non sono state identificate ulteriori sfruttamenti di CVE-2023-2868.