Cục Điều tra Liên bang cảnh báo rằng các bản vá cho lỗ hổng chèn lệnh từ xa Barracuda Email Security Gateway (ESG) “không hiệu quả” và các thiết bị được vá vẫn đang bị xâm phạm trong các cuộc tấn công.
Lỗ hổng CVE-2023-2868 được khai thác lần đầu tiên vào tháng 10/2022, tạo backdoor trên các thiết bị ESG và đánh cắp dữ liệu từ các hệ thống bị xâm nhập.
Hacker đã triển khai mã độc chưa từng được biết đến trước đây là SeaSpy và Saltwater, cùng công cụ độc hại SeaSide, để thiết lập các reverse shell cho truy cập từ xa.
Sau đó, CISA đã chia sẻ thêm thông tin chi tiết về mã độc Submariner và Whirlpool được triển khai trong cùng một cuộc tấn công. Cơ quan an ninh mạng Hoa Kỳ đã thêm lỗi này vào danh mục các lỗi được khai thác rộng rãi vào 27/5.
Mặc dù Barracuda đã vá tất cả các thiết bị từ xa và chặn quyền truy cập của kẻ tấn công vào các thiết bị lây nhiễm vào 20/5, một ngày sau khi lỗi được xác định. Hãng cũng cảnh báo tất cả khách hàng vào ngày 7/6 để thay thế tất cả các thiết bị bị ảnh hưởng ngay lập tức, có thể vì không thể đảm bảo loại bỏ hoàn toàn mã độc đã triển khai trong các cuộc tấn công.
Mandiant sau đó đã quy kết chiến dịch đánh cắp dữ liệu nhắm vào các thiết bị Barracuda ESG sử dụng khai thác CVE-2023-2868 do nhóm hacker UNC4841 (Trung Quốc) thực hiện.
Hiện FBI nhấn mạnh cảnh báo của Barracuda với khách hàng rằng họ nên cách ly và thay thế khẩn cấp các thiết bị bị tấn công, đồng thời cho biết tin tặc Trung Quốc vẫn đang tích cực khai thác lỗ hổng và thậm chí các thiết bị đã được vá lỗi cũng có nguy cơ bị xâm nhập vì các bản vá “không hiệu quả”.
Nguồn: Bleeping Computer