A recente descoberta de uma vulnerabilidade de dia zero (CVE-2023-2868) em dispositivos Barracuda Networks Email Security Gateway (ESG) trouxe preocupação significativa.
CVE-2023-2868 é uma vulnerabilidade de injeção de comando remoto que concede execução não autorizada de comandos do sistema com privilégios de administrador em dispositivos Barracuda ESG.
Notavelmente, esta vulnerabilidade afeta versões ESG 5.1.3.001-9.2.00,006 no formato do dispositivo. A vulnerabilidade é explorada durante o processo de triagem de anexos de e-mail.
Os cibercriminosos podem formatar anexos de arquivos TAR de uma maneira específica e enviá-los para um endereço de e-mail vinculado a um domínio com um dispositivo ESG.
Este anexo malicioso aciona uma injeção de comando, permitindo a execução de comandos dentro do ESG com seus privilégios. Mais detalhes sobre a vulnerabilidade de dia zero do Barracuda podem ser encontrados aqui.
Exploração por supostos atores cibernéticos da RPC
Evidências de exploração de aparelhos Barracuda ESG surgiram em outubro de 2022.
Supostos ciberatores da RPC utilizaram e-mails com anexos maliciosos para atingir as vítimas.
Inicialmente, os anexos tinham extensões “.tar”, evoluindo posteriormente para diversos formatos como “.jpg” ou “.dat”.
Após a varredura, esses arquivos iniciaram uma conexão com um domínio/IP controlado pelos atores, estabelecendo um shell reverso e permitindo comandos adicionais no dispositivo ESG.
Após o comprometimento, os atores injetaram várias cargas maliciosas para obter acesso persistente, verificar e-mails, coletar credenciais e exfiltrar dados.
A exploração da vulnerabilidade envolve a formatação de anexos maliciosos para acionar a injeção de comando.
Os dispositivos ESG explorados permanecem em risco mesmo após a aplicação dos patches. O FBI pede isolamento imediato e substituição dos aparelhos ESG afetados.
As técnicas avançadas dos invasores incluem análise forense, tornando a detecção um desafio.
As redes devem ser verificadas em busca de conexões para fornecer indicadores de comprometimento.
O FBI divulgou uma lista que inclui domínios e endereços IP utilizados pelos invasores para atividades maliciosas por meio de uma investigação.
Mitigações recomendadas
A divisão cibernética do FBI também publicou recomendações de mitigações do Barracuda para esta exploração.
- Remova todos os aparelhos ESG imediatamente.
- Realize verificações de conexões de saída usando os indicadores fornecidos.
- Investigue e revogue credenciais comprometidas.
- Revogar e reemitir certificados presentes durante o comprometimento.
- Monitore toda a rede em busca de sinais de exfiltração de dados e movimentação lateral.
- Capture imagens forenses e conduza uma análise completa.
Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no notícias do Google, Linkedin, Twittere Facebook.
