提供安全、網路與儲存設備及服務的Barracuda繼於日前修補其電子郵件安全閘道器(Email Security Gateway,ESG)設備的零時差漏洞CVE-2023-2868之後,本周二(5/30)公布了該漏洞遭到攻擊的細節,指出駭客自去年10月便開始利用該漏洞於受駭系統上部署了各式惡意程式,包括Saltwater、Seaspy、與Seaside,Barracuda也列出了端點設備的網路入侵指標(IOC)供用戶參考。
CVE-2023-2868漏洞存在於收到郵件時,用來過濾附加檔案的模組,成功利用該漏洞的駭客可自遠端於受駭系統上執行系統命令,且Barracuda的調查發現,已有一個第三方在去年10月便針對該漏洞展開攻擊,未經用戶授權存取ESG設備的子集,並部署惡意程式。
目前已知駭客所部署的惡意程式包括Saltwater、Seaspy、與Seaside,其中,Saltwater是個具備後門功能的Barracuda SMTP守護進程木馬化模組,它能上傳或下載任何檔案,執行命令,亦擁有代理與隧道能力。
Seaspy則是一個偽裝成合法Barracuda Networks服務的木馬程式,為一PCAC過濾器,可用來監控SMTP流量,且是個可長期進駐的後門。Seaside為一由Lua語言撰寫的模組,專為Barracuda SMTP守護進程所設計,可監控SMTP HELO/EHLO命令以接收C&C的IP位址。
Barracuda已主動通知遭到攻擊的用戶,建議用戶確保其ESG設備已部署最新的安全更新,並停止使用已受到危害的ESG設備,聯繫Barracuda以取得新的ESG虛擬或硬體設備,也應更新任何可連結至ESG設備的憑證。
儘管駭客在去年10月便展開攻擊行動,但Barracuda是在今年的5月18日才收到來自ESG設備的異常流量警報,當天立即請求資安業者Mandiant協助調查,並在19日確認CVE-2023-2868漏洞,於20/21日進行修補。目前Barracuda已在規畫一系列的修補策略以強化其所有設備的安全性。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29