Barracuda Networks exhorte les consommateurs utilisant des dispositifs physiques de passerelle de sécurité de messagerie (ESG) à les remplacer instantanément, « malgré le niveau de variation ponctuelle ».
Identification et divulgation des vulnérabilités
Barracuda a en fait identifié une vulnérabilité importante (CVE-2023-2868) dans ses appliances ESG le 19 mai 2023 et leur a envoyé un correctif le lendemain.
Le 21 mai, « un script a été déployé sur toutes les appliances concernées pour contenir l’événement et empêcher l’accès non autorisé aux approches. »
La vulnérabilité d’injection de commande à distance a affecté les versions 5.1. 3.001 à 9.2.0.006 de l’appareil physique et était utilisé par des agresseurs dans la nature, « pour obtenir un accès non approuvé à un sous-ensemble d’appliances ESG. »
Des logiciels malveillants sur mesure ont été déployés sur eux pour atteindre un accès implacable.
Action urgente requise
Barracuda a initialement encouragé les clients à faire tourner toutes les qualifications liées à l’appliance ESG (LDAP, AD, Barracuda Cloud Control, FTP, SMB) et a assuré de changer l’appareil concerné. En attendant, ils ont recommandé aux clients de lancer un nouvel appareil électroménager virtuel ou d’opter pour la variante cloud du service.
Ce mardi 6 juin, l’entreprise a publié une notification d’action immédiate, déclenchant tous les clients concernés à changer leurs appliances ESG concernées aussi rapidement que possible. « Si vous n’avez pas remplacé votre appareil après avoir reçu une notification dans votre interface utilisateur, contactez le support maintenant (support@barracuda.com) », ont-ils ajouté.
Caitlin Condon, responsable principale, étude de recherche sur la sécurité chez Rapid7, a gardé à l’esprit que « le passage du remplacement ponctuel au remplacement global des appareils concernés est relativement spectaculaire et implique que le logiciel malveillant déployé par les stars de la menace accomplit d’une manière ou d’une autre une persévérance à un niveau suffisamment bas pour que même le nettoyage de l’appareil ne supprime pas l’accès de l’ennemi. »
Les scientifiques de Rapid7 ont déterminé des actions malveillantes en cours remontant à novembre 2022, les circonstances les plus récentes ayant été observées en mai 2023.
« Dans au moins un cas, le trafic réseau sortant a suggéré des données possibles exfiltration. Nous n’avons encore observé aucun mouvement latéral d’un appareil compromis « , a déclaré Condon.
Barracuda a en fait précédemment confirmé que la première preuve connue d’exploitation de CVE-2023-2868 indique que des attaquants l’utilisent comme depuis octobre 2022.
Toute l’actualité en temps réel, est sur L’Entrepreneur
