FBI cảnh báo các thiết bị Barracuda ESG đã vá vẫn bị hack

Được theo dõi là CVE-2023-2868, lỗ hổng này được khai thác lần đầu tiên vào tháng 10 năm 2022 để tạo backdoor cho các thiết bị ESG và đánh cắp dữ liệu từ các hệ thống bị xâm nhập.

Những kẻ tấn công đã triển khai phần mềm độc hại chưa từng được biết đến trước đây, SeaSpy và Saltwater, cũng như một công cụ độc hại, SeaSide, để thiết lập các shell đảo ngược cho truy cập từ xa.

Sau đó CISA đã chia sẻ thêm thông tin chi tiết về phần mềm độc hại Submariner và Whirlpool được triển khai trong cùng một cuộc tấn công. Cơ quan an ninh mạng Hoa Kỳ cũng đã thêm lỗi này vào danh mục các lỗi được khai thác rộng rãi vào ngày 27 tháng 5, cảnh báo các cơ quan liên bang kiểm tra mạng của họ để tìm bằng chứng tấn công.

Mặc dù Barracuda đã vá tất cả các thiết bị từ xa và chặn quyền truy cập của kẻ tấn công vào các thiết bị bị vi phạm vào ngày 20 tháng 5, một ngày sau khi lỗi được xác định, nó cũng cảnh báo tất cả khách hàng vào ngày 7 tháng 6 rằng họ phải thay thế tất cả các thiết bị bị ảnh hưởng ngay lập tức, có thể vì nó không thể đảm bảo loại bỏ hoàn toàn phần mềm độc hại được triển khai trong các cuộc tấn công.

Mandiant sau đó đã liên kết chiến dịch đánh cắp dữ liệu nhắm vào các thiết bị Barracuda ESG sử dụng khai thác CVE-2023-2868 với nhóm đe dọa UNC4841, được mô tả là nhóm hack bị nghi ngờ được Trung Quốc ủng hộ.

FBI cũng cảnh báo khách hàng của Barracuda thay thế các thiết bị

FBI hiện đang củng cố cảnh báo của Barracuda cho khách hàng, họ nên cách ly và thay thế khẩn cấp các thiết bị bị tấn công, đồng thời cho biết tin tặc Trung Quốc vẫn đang tích cực khai thác lỗ hổng và thậm chí các thiết bị đã được vá lỗi cũng có nguy cơ bị xâm phạm vì các bản vá "không hiệu quả".

“FBI khuyến cáo mạnh mẽ tất cả các thiết bị ESG bị ảnh hưởng phải được cách ly và thay thế ngay lập tức, đồng thời tất cả các mạng được quét để tìm kết nối đến danh sách các dấu hiệu xâm phạm được cung cấp ngay lập tức”, cơ quan thực thi pháp luật liên bang cảnh báo [PDF] trong một cảnh báo chớp nhoáng ngày 23 tháng 8.

“Các bản vá do Barracuda phát hành để đáp lại CVE này không hiệu quả. FBI tiếp tục quan sát các hoạt động xâm nhập và cho biết tất cả các thiết bị Barracuda ESG bị ảnh hưởng đều bị xâm phạm và dễ bị khai thác này.

“FBI đã xác minh độc lập rằng tất cả các thiết bị ESG bị khai thác, ngay cả những thiết bị có bản vá do Barracuda tung ra, vẫn có nguy cơ bị xâm phạm mạng máy tính liên tục do các tác nhân mạng bị nghi ngờ là PRC đang khai thác lỗ hổng này.”

Hơn nữa, cơ quan này đã khuyên khách hàng của Barracuda điều tra mạng của họ để tìm các vi phạm tiềm ẩn khác bằng cách quét các kết nối gửi đi tới IP trong danh sách các chỉ báo xâm phạm (IOC) được chia sẻ trong khuyến nghị.

Những người đã sử dụng thông tin xác thực đặc quyền của doanh nghiệp với các thiết bị Barracuda của họ (ví dụ: Quản trị viên miền Active Directory) cũng được khuyến khích thu hồi và luân chuyển chúng để ngăn chặn việc duy trì sự ổn định mạng của những kẻ tấn công.

Nguồn: bleepingcomputer.com