Alerta: Amenazas chinas aprovechan un fallo de día cero de Barracuda
En los últimos acontecimientos, Barracuda, una destacada empresa de ciberseguridad de redes y correo electrónico, ha estado lidiando con una vulnerabilidad de día cero. La vulnerabilidad ha sido identificada como CVE-2023-7102 en sus dispositivos Email Security Gateway (ESG). La situación se ha visto agravada por la explotación activa de este fallo por parte de un grupo de hackers chinos conocido como UNC4841 Chinese. En este blog, analizaremos el fallo de Barracuda fallo de día ceroexplorando sus entresijos y el consiguiente impacto en la ciberseguridad.
El fallo de día cero de Barracuda
La causa raíz de la vulnerabilidad de los dispositivos Barracuda ESG radica en un punto débil de la biblioteca de terceros Spreadsheet::ParseExcel, integrada en el antivirus Amavis que se ejecuta en los dispositivos ESG de Barracuda. El fallo permite a los actores de amenazas ejecutar código arbitrario en los dispositivos ESG vulnerables a través de la inyección de parámetros.
Hackers chinos aprovechan un fallo de día cero de Barracuda
UNC4841 aprovechó esta vulnerabilidad de ejecución arbitraria de código (ACE) para desplegar un archivo adjunto de correo electrónico Excel meticulosamente diseñado, explotando la biblioteca Spreadsheet::ParseExcel. Como resultado, un número limitado de dispositivos ESG cayó presa del ataque, dando lugar a amenazas de ciberseguridad en los dispositivos ESG.
Barracuda respondió rápidamente desplegando un parche el 22 de diciembre de 2023 para reparar los dispositivos ESG comprometidos, que mostraban indicadores de compromiso vinculados a nuevas variantes del malware SEASPY y SALTWATER.
En la investigación en curso del fallo de día cero de Barracuda, la organización aseguró a los clientes que no es necesario tomar medidas inmediatas. También hicieron hincapié en su compromiso de resolver el problema y garantizar la seguridad de los dispositivos ESG.
CVE-2023-7101: una preocupación más amplia
En concreto, Barracuda ha registrado la vulnerabilidad CVE-2023-7101 en la biblioteca de código abierto, que afecta a varios productos de diversas organizaciones. Por ahora, este problema sigue sin resolverse, lo que añade un nivel adicional de urgencia al panorama de la ciberseguridad.
Resumen de la alerta de seguridad de mayo
Estos exploits de día cero en dispositivos de seguridad de red no son la primera vez que Barracuda se enfrenta a problemas de ciberseguridad. En mayo, la empresa advirtió a sus clientes de fallos en algunos de sus dispositivos Email Security Gateway. Según las noticias sobre brechas de seguridad de BarracudaUNC4841, el mismo grupo chino explotó una vulnerabilidad de día cero (CVE-2023-2868) en el módulo de filtrado de adjuntos de correo electrónico. La empresa abordó rápidamente el problema con parches de seguridad, pero más tarde descubrió que la vulnerabilidad había sido explotada desde octubre de 2022.
El arsenal del malware
Los autores de la amenaza desplegaron dos potentes familias de malware: SALTWATER y SEASPY. SALTWATER, un módulo repleto de malware para el demonio SMTP de Barracuda, contaba con varias capacidades, entre ellas la manipulación de archivos, la ejecución de comandos y el envío de tráfico malicioso. Por otro lado, SEASPY se presentaba como una puerta trasera persistente que se hacía pasar por un servicio legítimo de Barracuda Networks y monitorizaba activamente el tráfico SMTP en el puerto 25.
Medidas correctoras urgentes
Barracuda, con el apoyo de Mandiant, instó a sus clientes a principios de junio a sustituir rápidamente los dispositivos ESG afectados, independientemente del nivel de la versión del parche. La empresa hizo hincapié en la sustitución completa como recomendación de corrección en las actualizaciones de seguridad de los dispositivos ESG. actualizaciones de seguridad de los dispositivos ESG.
EE.UU. Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) añadió el 28 de mayo la vulnerabilidad de día cero Barracuda, recientemente parcheada, a su Catálogo de Vulnerabilidades Explotadas Conocidas. Posteriormente, la CISA compartió detalles técnicos sobre las familias de malware Submarine y Whirlpool asociadas a los ataques que explotaban el citado fallo.
UNC4841: El Culpable
Los investigadores de Mandiant vincularon al grupo UNC4841 con los ciberataques chinos a Barracudaque comenzaron el 10 de octubre de 2022. Los actores de la amenaza utilizaron correos electrónicos de spear-phishing que contenían archivos adjuntos con armas para explotar la vulnerabilidad CVE-2023-2868, obteniendo acceso a dispositivos Barracuda ESG vulnerables.
Panorama actual de las amenazas
Una vez dentro de los dispositivos ESG comprometidos, se observó a UNC4841 robando datos específicos y, en algunos casos, utilizando los dispositivos comprometidos para el movimiento lateral dentro de la red. Los autores de la amenaza también desplegaron herramientas adicionales para mantener una presencia persistente en los dispositivos ESG. Las mejores prácticas de ciberseguridad para los dispositivos Barracuda son cruciales para garantizar la sólida protección de sus activos digitales y su información confidencial, ya que forman parte integral del mantenimiento de una infraestructura de red segura y resistente.
Conclusión
En conclusión, los recientes incidentes ponen de manifiesto la evolución y persistencia de las amenazas en el panorama de la ciberseguridad. Barracuda sigue dedicada a abordar estas vulnerabilidades de seguridad de la red 2024 rápidamente, desplegando parches y colaborando con expertos de la industria para investigar y mitigar los riesgos. El compromiso continuo con la seguridad de los clientes y el enfoque proactivo frente a los refuerzan la posición de Barracuda como socio fiable para salvaguardar los entornos digitales.
A medida que las organizaciones navegan por las complejidades de la ciberseguridad, mantenerse informado y proteger los dispositivos ESG de las ciberamenazas es primordial. Además, la adopción de las mejores prácticas y el aprovechamiento de la experiencia de los socios de ciberseguridad se convierten en elementos cruciales para mantener una defensa sólida contra las amenazas en evolución.
Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.