CVE-2023-2868:Barracuda和FBI建议立即替换邮箱安全网关设备

自2022年10月以来,攻击者一直在利用Barrakuda邮箱安全网关设备零日漏洞,供应商和联邦调查局都敦促客户立即替换这些装置

后台

5月19日,Barracuda发布事件报告详细调查Email安全网关件零日漏洞

巴拉库达雇用Mandiant帮助调查并识别与开发相关攻击的折中指标

分析

CVE2023-2868远程指令注入漏洞具体地说,漏洞与磁带归档文件所用解析逻辑相关联,磁带归档文件又称TAR文件

作为调查的一部分,Mandiant发现攻击者早在2022年10月就利用漏洞为零日

图片源码 :曼迪安特2023年6月

攻击者会发送一个特殊编译的TAR文件,内含文件名中的恶意有效载荷专用文件使用各种扩展文件,包括.tar、.dat和.jpg成功开发后远程代码执行

Mandiant和FBI都把零日攻击利用CVE2023-2868归结为中华人民共和国关联威胁角色Mandiant指该组UNC4841

在这些攻击中,UNC4841调用多户后门恶意家庭SALTWATER,海港,滨海,子集PTHEARGE)whirlpo.

8月29日后续博客文章中, Mandiant提供更多细节,Mandiant表示自5月20日释放补丁后,设备补丁前已经失密,显示攻击者使用数本高端恶意脚本和活动以保持持久性额外恶意软件家属称SKIPJack并FoxTROT系统/福克斯洛夫.曼迪安特博客文章更深入描述攻击者使用这些恶意家庭保持持久性,并在某些情况下在Barrakuda公开发布CVE2023-2868后横向移动目标网络

更多细节说明与这些攻击有关的后开发活动,包括折中指标(IOCs),请参考Mandiant博客文章自6月15日起跟踪博客文章8月29号

概念证明

博客发布时,CVE-2023-2868公开提供多条概念证明然而,我们强烈建议,在与公开活动中心互动时谨慎行事,因为这些活动中心也可能恶意性质

求解

5月20日,Barracuda发布安全补丁以“修复漏洞 ” 。 受影响的BarracudaESG设备包括5.1.3.001至9.2.0.006版本,而Barracuda发布固定版版本9.2.0.008.

中则UNFCS闪存警示(AC-000172-TT)8月23日发布, 代理表示“Barracuda发布响应CVE无效的插件”, 并补充道,

推荐替换BarracudaESG设备

Barracuda调查事件后建议“即时替换失密ESG设备,不管补丁级别如何 ” 。 FBI在最近的闪电警示中强调了这一指导,因为机构“强烈建议所有受影响的ESG设备隔离并立即替换 ” 。

8月29日Mandiant博客文章表示他们的建议不变,

8月29日网络安全安全局发布附加海委会帮助事件响应者调查CVE-2023-2868号开发

识别受影响的系统

下可租插件识别客户环境中的BarracudaESG资产以及易受CVE-2023-2868影响者

请注意,插件工作需要HTTP证书检测版Barracuda应用示例插件输出

HTTP证书提供后,检测插件返回版本和ESG应用模型信息

我们强烈鼓励客户通过提供HTTP证书扫描网络上这些设备并尽快隔离并替换这些设备关于HTTP证书扫描策略配置的更多资料,请参考下文应用文档

• 可调用Nessus
• 可租安全中心
• 可耐受脆弱性管理(原Tenable.io)

获取更多信息

• Barracuda事件报告2023年5月
• Barracuda邮箱安全网关应用
• Mandiant:Barracuda ESG零日易损性(CVE-2023-2868)
• 曼迪安特:深入UNC4841操作继Barracuda ESG零日补救后(CVE-2023-2868)
• FBI闪存警示:疑似PRC网络行为主体继续全球探索BarracudaESG零日易损性(CVE-2023-2868)
• CISA发布与恶意Barcuda活动关联

加入腾布尔安全响应队房东社区

深入了解开云app安装不了怎么办 接触管理平台现代攻击面