La empresa de seguridad empresarial Barracuda reveló el martes que una vulnerabilidad zero-day recientemente parcheada en sus dispositivos Email Security Gateway (ESG) habÃa sido aprovechada por actores de amenazas desde octubre de 2022 para infiltrar los dispositivos.
Los hallazgos más recientes muestran que esta vulnerabilidad crÃtica, identificada como CVE-2023-2868 (puntuación CVSS: No disponible), ha sido explotada activamente durante al menos siete meses antes de su descubrimiento.
La vulnerabilidad, descubierta por Barracuda el 19 de mayo de 2023, afecta a las versiones 5.1.3.001 a 9.2.0.006 y podrÃa permitir que un atacante remoto ejecute código en instalaciones susceptibles. Barracuda lanzó parches el 20 y 21 de mayo.
"CVE-2023-2868 se utilizó para obtener acceso no autorizado a un subconjunto de dispositivos ESG", dijo la compañÃa de seguridad de redes y correo electrónico en un aviso actualizado.
"Se identificó malware en un subconjunto de dispositivos, lo que permitió el acceso persistente a través de una puerta trasera. También se identificaron pruebas de extracción de datos en un subconjunto de dispositivos afectados".
Hasta la fecha, se han descubierto tres variantes de malware:
SALTWATER: un módulo troyanizado para el daemon SMTP de Barracuda (bsmtpd) que está equipado para cargar o descargar archivos arbitrarios, ejecutar comandos y también actuar como un proxy y tunelizar tráfico malicioso para pasar desapercibido.
SEASPY: una puerta trasera ELF x64 que ofrece capacidades de persistencia y se activa mediante un paquete mágico. SEASIDE: un módulo basado en Lua para bsmtpd que establece conexiones inversas a través de comandos SMTP HELO/EHLO enviados por el servidor de comando y control (C2) del malware.
Se ha identificado una superposición en el código fuente entre SEASPY y una puerta trasera de código abierto llamada cd00r, según Mandiant, una empresa propiedad de Google que está investigando el incidente. Los ataques no han sido atribuidos a un actor o grupo de amenazas conocido.
La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA, por sus siglas en inglés) también agregó el error a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), instando a las agencias federales a aplicar los parches antes del 16 de junio de 2023. Barracuda no reveló cuántas organizaciones fueron comprometidas, pero indicó que se contactó directamente a estas organizaciones con orientación para mitigar el problema. También advirtió que la investigación en curso podrÃa descubrir a más usuarios que podrÃan haber sido afectados.
¿Quieres saber más?