ClickCease Alerta: Amenazas chinas aprovechan un fallo de día cero de Barracuda

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta: Amenazas chinas aprovechan un fallo de día cero de Barracuda

Wajahat Raja

9 de enero de 2024 - Equipo de expertos TuxCare

En los últimos acontecimientos, Barracuda, una destacada empresa de ciberseguridad de redes y correo electrónico, ha estado lidiando con una vulnerabilidad de día cero. La vulnerabilidad ha sido identificada como CVE-2023-7102 en sus dispositivos Email Security Gateway (ESG). La situación se ha visto agravada por la explotación activa de este fallo por parte de un grupo de hackers chinos conocido como UNC4841 Chinese. En este blog, analizaremos el fallo de Barracuda fallo de día ceroexplorando sus entresijos y el consiguiente impacto en la ciberseguridad.


El fallo de día cero de Barracuda

 

La causa raíz de la vulnerabilidad de los dispositivos Barracuda ESG radica en un punto débil de la biblioteca de terceros Spreadsheet::ParseExcel, integrada en el antivirus Amavis que se ejecuta en los dispositivos ESG de Barracuda. El fallo permite a los actores de amenazas ejecutar código arbitrario en los dispositivos ESG vulnerables a través de la inyección de parámetros.

 

Hackers chinos aprovechan un fallo de día cero de Barracuda

 

UNC4841 aprovechó esta vulnerabilidad de ejecución arbitraria de código (ACE) para desplegar un archivo adjunto de correo electrónico Excel meticulosamente diseñado, explotando la biblioteca Spreadsheet::ParseExcel. Como resultado, un número limitado de dispositivos ESG cayó presa del ataque, dando lugar a amenazas de ciberseguridad en los dispositivos ESG.

Barracuda respondió rápidamente desplegando un parche el 22 de diciembre de 2023 para reparar los dispositivos ESG comprometidos, que mostraban indicadores de compromiso vinculados a nuevas variantes del malware SEASPY y SALTWATER.

En la investigación en curso del fallo de día cero de Barracuda, la organización aseguró a los clientes que no es necesario tomar medidas inmediatas. También hicieron hincapié en su compromiso de resolver el problema y garantizar la seguridad de los dispositivos ESG.

 

CVE-2023-7101: una preocupación más amplia


En concreto, Barracuda ha registrado la vulnerabilidad CVE-2023-7101 en la biblioteca de código abierto, que afecta a varios productos de diversas organizaciones. Por ahora, este problema sigue sin resolverse, lo que añade un nivel adicional de urgencia al panorama de la ciberseguridad.


Resumen de la alerta de seguridad de mayo


Estos
exploits de día cero en dispositivos de seguridad de red no son la primera vez que Barracuda se enfrenta a problemas de ciberseguridad. En mayo, la empresa advirtió a sus clientes de fallos en algunos de sus dispositivos Email Security Gateway. Según las noticias sobre brechas de seguridad de BarracudaUNC4841, el mismo grupo chino explotó una vulnerabilidad de día cero (CVE-2023-2868) en el módulo de filtrado de adjuntos de correo electrónico. La empresa abordó rápidamente el problema con parches de seguridad, pero más tarde descubrió que la vulnerabilidad había sido explotada desde octubre de 2022.


El arsenal del malware


Los autores de la amenaza desplegaron dos potentes familias de malware: SALTWATER y SEASPY. SALTWATER, un módulo repleto de malware para el demonio SMTP de Barracuda, contaba con varias capacidades, entre ellas la manipulación de archivos, la ejecución de comandos y el envío de tráfico malicioso. Por otro lado, SEASPY se presentaba como una puerta trasera persistente que se hacía pasar por un servicio legítimo de Barracuda Networks y monitorizaba activamente el tráfico SMTP en el puerto 25.


Medidas correctoras urgentes


Barracuda, con el apoyo de Mandiant, instó a sus clientes a principios de junio a sustituir rápidamente los dispositivos ESG afectados, independientemente del nivel de la versión del parche. La empresa hizo hincapié en la sustitución completa como recomendación de corrección en las actualizaciones de seguridad de los dispositivos ESG.
actualizaciones de seguridad de los dispositivos ESG.

EE.UU. Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) añadió el 28 de mayo la vulnerabilidad de día cero Barracuda, recientemente parcheada, a su Catálogo de Vulnerabilidades Explotadas Conocidas. Posteriormente, la CISA compartió detalles técnicos sobre las familias de malware Submarine y Whirlpool asociadas a los ataques que explotaban el citado fallo.


UNC4841: El Culpable

 

Los investigadores de Mandiant vincularon al grupo UNC4841 con los ciberataques chinos a Barracudaque comenzaron el 10 de octubre de 2022. Los actores de la amenaza utilizaron correos electrónicos de spear-phishing que contenían archivos adjuntos con armas para explotar la vulnerabilidad CVE-2023-2868, obteniendo acceso a dispositivos Barracuda ESG vulnerables.


Panorama actual de las amenazas


Una vez dentro de los dispositivos ESG comprometidos, se observó a UNC4841 robando datos específicos y, en algunos casos, utilizando los dispositivos comprometidos para el movimiento lateral dentro de la red. Los autores de la amenaza también desplegaron herramientas adicionales para mantener una presencia persistente en los dispositivos ESG.
Las mejores prácticas de ciberseguridad para los dispositivos Barracuda son cruciales para garantizar la sólida protección de sus activos digitales y su información confidencial, ya que forman parte integral del mantenimiento de una infraestructura de red segura y resistente.


Conclusión


En conclusión, los recientes incidentes ponen de manifiesto la evolución y persistencia de las amenazas en el panorama de la ciberseguridad. Barracuda sigue dedicada a abordar estas
vulnerabilidades de seguridad de la red 2024 rápidamente, desplegando parches y colaborando con expertos de la industria para investigar y mitigar los riesgos. El compromiso continuo con la seguridad de los clientes y el enfoque proactivo frente a los refuerzan la posición de Barracuda como socio fiable para salvaguardar los entornos digitales.

A medida que las organizaciones navegan por las complejidades de la ciberseguridad, mantenerse informado y proteger los dispositivos ESG de las ciberamenazas es primordial. Además, la adopción de las mejores prácticas y el aprovechamiento de la experiencia de los socios de ciberseguridad se convierten en elementos cruciales para mantener una defensa sólida contra las amenazas en evolución.

Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.

 

Resumen
Alerta: Amenazas chinas aprovechan un fallo de día cero de Barracuda
Nombre del artículo
Alerta: Amenazas chinas aprovechan un fallo de día cero de Barracuda
Descripción
Explore el fallo de día cero de Barracuda explotado por hackers chinos. Obtenga información sobre las últimas infracciones de ciberseguridad para proteger sus sistemas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín