Предупреждение появилось после того, как Barracuda Networks выпустила предупреждение о том, что исправлений для CVE-2023-2868 недостаточно и все затронутые устройства ESG необходимо заменить.
По данным ФБР, злоумышленники, предположительно связанные с Китайской Народной Республикой, продолжают использовать уязвимость нулевого дня в устройстве шлюза безопасности электронной почты Barracuda Network, которая была раскрыта в мае.
Уязвимость удаленного внедрения команд, отслеживаемая как CVE-2023-2868, представляет собой критическую уязвимость, которая затрагивает устройство Barracuda Email Security Gateway (ESG) версий 5.1.3.001-9.2.0.00. Barracuda обнаружила уязвимость 19 мая и выпустила исправления 20 и 21 мая, но в июне поставщик объявил, что исправлений недостаточно.
В экстренном сообщении, опубликованном в среду, ФБР повторило предупреждение Barracuda и призвало клиентов «немедленно» удалить все устройства ESG, поскольку злоумышленники, подозреваемые в связях с Китаем, продолжают свою кампанию.
«В рамках расследования ФБР использования CVE-2023-2868, уязвимости нулевого дня в устройствах Network Email Security Gateway (ESG) компании Barracuda, ФБР независимо проверило, что все эксплуатируемые устройства ESG, даже те, для которых были выпущены исправления, от Barracuda остаются под угрозой дальнейшего взлома компьютерной сети со стороны подозреваемых киберпреступников КНР, использующих эту уязвимость», — говорится в сообщении ФБР.
Уязвимость особенно опасна, поскольку она существует в процессе сканирования, и поэтому, как предупреждается в предупреждении, устройству ESG достаточно прочитать электронные письма, чтобы активировать уязвимость.
В ходе расследования ФБР обнаружило индикаторы компрометации (IOC) и наблюдало, как злоумышленники использовали CVE-2023-2868 для внедрения вредоносных полезных данных в устройства ESG. Злоумышленники использовали эту уязвимость для обеспечения постоянного доступа, сканирования электронной почты, сбора учетных данных и «агрессивного выбора конкретных данных для кражи». Однако злоумышленники умели скрывать свои следы, используя «методы контркриминалистики», что затрудняет обнаружение на основе IOC для предприятий.
«В результате крайне важно, чтобы сети сканировали различные сетевые журналы на наличие связей с любым из перечисленных индикаторов», — говорится в предупреждении.
Поскольку атаки продолжаются, ФБР заявило, что считает все затронутые устройства ESG Barracuda скомпрометированными и уязвимыми для этого эксплойта. Как и в июньском уведомлении Barracuda, ФБР пришло к выводу, что исправления, выпущенные Barracuda, неэффективны и приборы необходимо заменить.
Помимо немедленной изоляции и замены всех затронутых устройств ESG, ФБР также призвало предприятия сканировать сети на наличие IOC, связанных с продолжающейся деятельностью. Агентство также рекомендовало потенциально затронутым клиентам просматривать журналы электронной почты, отзывать и менять учетные данные, отзывать и перевыпускать сертификаты, а также проверять сетевые журналы на предмет признаков утечки данных или горизонтального перемещения.
В Barracuda сообщили TechTarget Editorial, что ее рекомендация о том, чтобы пострадавшие клиенты заменяли свои скомпрометированные устройства, остается неизменной.
«Если клиент получил уведомление о пользовательском интерфейсе или с ним связался представитель службы технической поддержки Barracuda, ему следует обратиться в службу поддержки для замены устройства ESG. Barracuda бесплатно предоставляет замещающий продукт пострадавшим клиентам», — заявили в Barracuda. «Мы уведомили клиентов, пострадавших от этого инцидента. Если устройство ESG отображает уведомление в пользовательском интерфейсе, это означает, что устройство ESG имело признаки взлома. Если уведомление не отображается, у нас нет оснований полагать, что устройство было взломано в на этот раз.»
Barracuda добавил, что «этот инцидент затронул только часть устройств ESG».
Однако ФБР заявило, что расследование показало, что злоумышленники воспользовались уязвимостью в «значительном» количестве устройств ESG.
Еще в мае, когда впервые была обнаружена эксплуатация CVE-2023-2868, Barracuda привлекла к расследованию компанию Mandiant. В июне поставщик средств безопасности приписал атаки ESG злоумышленнику, поддерживающему китайское правительство и отслеживаемому как UNC4841.
Кроме того, Mandiant предоставил возможности для атаки. Поставщик систем безопасности отметил, что кампания затронула государственный и частный секторы по всему миру, причем почти треть жертв стали правительственными учреждениями.
Представитель Mandiant поделился заявлением Кевина Мандиа, генерального директора Mandiant в Google Cloud, в котором он сказал, что предупреждение ФБР подтверждает причастность Mandiant и дает более подробные рекомендации по защите.
«С момента нашего первого отчета в июне UNC4841 развертывал новые и новые вредоносные программы для небольшого подмножества высокоприоритетных целей после устранения CVE-2023-2868. его глобальные шпионские операции охватят государственный и частный секторы по всему миру», — заявил Мандиа. «Такие типы атак подчеркивают серьезный сдвиг в торговом подходе со стороны действующих лиц, связанных с Китаем, особенно по мере того, как они становятся более избирательными в своих последующих шпионских операциях».