ClickCease Warnung: Chinesische Bedrohungsakteure nutzen Barracuda Zero-Day-Schwachstelle aus

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Warnung: Chinesische Bedrohungsakteure nutzen Barracuda Zero-Day-Schwachstelle aus

Wajahat Raja

Januar 9, 2024 - TuxCare-Expertenteam

In jüngster Zeit hat sich Barracuda, ein bekanntes Unternehmen für Netzwerk- und E-Mail-Cybersicherheit, mit einer Zero-Day-Schwachstelle auseinandergesetzt. Die Sicherheitslücke wurde identifiziert als CVE-2023-7102 in seinen Email Security Gateway (ESG)-Appliances identifiziert. Die Situation hat sich durch die aktive Ausnutzung dieser Schwachstelle durch eine chinesische Hackergruppe namens UNC4841 Chinese noch verschärft. In diesem Blog werden wir uns mit der Barracuda Zero-Day-Schwachstelleund erforschen seine Feinheiten und die daraus resultierenden Auswirkungen auf die Cybersicherheit.


Die Barracuda Zero-Day-Schwachstelle

 

Die Hauptursache für die Barracuda ESG Appliances Sicherheitslücke liegt in einer Schwachstelle in der Spreadsheet::ParseExcel-Bibliothek eines Drittanbieters, die Bestandteil des Amavis-Virenscanners ist, der auf den Barracuda ESG Appliances läuft. Die Schwachstelle ermöglicht Bedrohungsakteuren die Ausführung von beliebigem Code auf anfälligen ESG-Geräten durch Parameterinjektion.

 

Barracuda Zero-Day-Schwachstelle von chinesischen Hackern ausgenutzt

 

UNC4841 nutzte diese ACE-Schwachstelle (Arbitrary Code Execution) aus, um einen sorgfältig gestalteten Excel-E-Mail-Anhang unter Ausnutzung der Spreadsheet::ParseExcel-Bibliothek zu versenden. Infolgedessen fiel eine begrenzte Anzahl von ESG-Geräten dem Angriff zum Opfer, was zu einer Cybersicherheitsbedrohungen in ESG-Geräten.

Barracuda reagierte schnell und stellte am 22. Dezember 2023 einen Patch bereit, um kompromittierte ESG-Appliances zu bereinigen, die Indikatoren für eine Kompromittierung im Zusammenhang mit neuen Varianten der SEASPY- und SALTWATER-Malware aufwiesen.

Im Rahmen der laufenden Untersuchung der Barracuda-Zero-Day-Schwachstelle versicherte das Unternehmen seinen Kunden, dass keine sofortigen Maßnahmen erforderlich sind. Sie betonten außerdem ihr Engagement, das Problem zu beheben und die Sicherheit der ESG-Appliances zu gewährleisten.

 

CVE-2023-7101: Ein größeres Problem


Barracuda hat die Sicherheitslücke CVE-2023-7101 für eine Schwachstelle in der Open-Source-Bibliothek gemeldet, die sich auf verschiedene Produkte mehrerer Unternehmen auswirkt. Bislang ist dieses Problem noch nicht behoben, was die Cybersicherheitslandschaft noch dringlicher macht.


Eine Zusammenfassung der Sicherheitswarnung vom Mai


Diese
Zero-Day-Exploits in Netzwerksicherheitsgeräten sind nicht das erste Mal, dass Barracuda mit Problemen der Cybersicherheit konfrontiert ist. Im Mai warnte das Unternehmen seine Kunden vor Sicherheitslücken in einigen seiner Email Security Gateway Appliances. Laut der Barracuda-Sicherheitsverletzung NewsUNC4841, nutzte dieselbe chinesische Gruppe eine Zero-Day-Schwachstelle (CVE-2023-2868) im Modul zur Überprüfung von E-Mail-Anhängen aus. Das Unternehmen hat das Problem umgehend mit Sicherheits-Patches behoben, aber später festgestellt, dass die Schwachstelle seit Oktober 2022 ausgenutzt wurde.


Das Malware-Arsenal


Die Bedrohungsakteure setzten zwei potente Malware-Familien ein: SALTWATER und SEASPY. SALTWATER, ein mit Malware gespicktes Modul für den Barracuda-SMTP-Daemon, verfügte über verschiedene Funktionen, darunter Dateimanipulation, Befehlsausführung und Proxy für bösartigen Datenverkehr. SEASPY hingegen präsentierte sich als hartnäckige Backdoor, die sich als legitimer Dienst von Barracuda Networks ausgab und aktiv den SMTP-Verkehr an Port 25 überwachte.


Dringende Sanierungsmaßnahmen


Barracuda, das von Mandiant unterstützt wird, forderte seine Kunden Anfang Juni auf, betroffene ESG-Appliances unabhängig von der Patch-Version umgehend auszutauschen. Das Unternehmen betonte den vollständigen Austausch als Empfehlung zur Abhilfe in den
ESG-Appliance Sicherheitsupdates.

Die US Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) hat die kürzlich gepatchte Barracuda-Zero-Day-Schwachstelle am 28. Mai in ihren Known Exploited Vulnerabilities Catalog (Katalog bekannter ausgenutzter Schwachstellen) aufgenommen. Anschließend teilte die CISA technische Details zu den Malware-Familien Submarine und Whirlpool mit, die mit den Angriffen in Verbindung stehen, bei denen die genannte Schwachstelle ausgenutzt wird.


UNC4841: Der Übeltäter

 

Die Forscher von Mandiant brachten die Gruppe UNC4841 mit den chinesischen Cyber-Angriffen auf Barracudain Verbindung, die bereits im 10. Oktober 2022. Die Bedrohungsakteure nutzten Spear-Phishing-E-Mails mit bewaffneten Anhängen, um die Sicherheitslücke CVE-2023-2868 auszunutzen und sich Zugang zu anfälligen Barracuda ESG-Appliances zu verschaffen.


Laufende Bedrohungslandschaft


Sobald UNC4841 in die kompromittierten ESG-Geräte eingedrungen war, wurde er dabei beobachtet, wie er bestimmte Daten entwendete und in einigen Fällen die kompromittierten Geräte für laterale Bewegungen innerhalb des Netzwerks nutzte. Die Bedrohungsakteure setzten auch zusätzliche Tools ein, um eine dauerhafte Präsenz auf ESG-Geräten aufrechtzuerhalten.
Bewährte Cybersecurity-Praktiken für Barracuda-Geräte sind von entscheidender Bedeutung, um einen robusten Schutz Ihrer digitalen Ressourcen und sensiblen Informationen zu gewährleisten, da sie für die Aufrechterhaltung einer sicheren und widerstandsfähigen Netzwerkinfrastruktur unerlässlich sind.


Schlussfolgerung


Zusammenfassend lässt sich sagen, dass die jüngsten Vorfälle die sich entwickelnden und anhaltenden Bedrohungen in der Cybersicherheitslandschaft verdeutlichen. Barracuda widmet sich weiterhin der Bekämpfung dieser
Netzwerksicherheitsschwachstellen 2024 umgehend zu beheben, Patches bereitzustellen und mit Branchenexperten zusammenzuarbeiten, um die Risiken zu untersuchen und zu mindern. Das kontinuierliche Engagement für die Sicherheit der Kunden und der proaktive Herangehensweise an Cybersicherheits Herausforderungen stärken Barracudas Position als verlässlicher Partner bei der Absicherung digitaler Umgebungen.

Während Unternehmen die Komplexität der Cybersicherheit meistern, müssen sie informiert bleiben und ESG-Appliances vor Cyber-Bedrohungen zu schützen ist von größter Bedeutung. Darüber hinaus sind die Übernahme von Best Practices und die Nutzung des Fachwissens von Cybersecurity-Partnern entscheidende Elemente für eine robuste Verteidigung gegen sich entwickelnde Bedrohungen.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.

 

Zusammenfassung
Warnung: Chinesische Bedrohungsakteure nutzen Barracuda Zero-Day-Schwachstelle aus
Artikel Name
Warnung: Chinesische Bedrohungsakteure nutzen Barracuda Zero-Day-Schwachstelle aus
Beschreibung
Erfahren Sie mehr über die Barracuda-Zero-Day-Schwachstelle, die von chinesischen Hackern ausgenutzt wurde. Gewinnen Sie Einblicke in die neueste Cybersecurity-Lücke, um Ihre Systeme zu schützen.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter