ClickCease Alerte : des acteurs chinois exploitent la faille Zero-Day de Barracuda

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Alerte : des acteurs chinois exploitent la faille Zero-Day de Barracuda

Wajahat Raja

Le 9 janvier 2024 - L'équipe d'experts de TuxCare

Récemment, Barracuda, une importante société spécialisée dans la cybersécurité des réseaux et du courrier électronique, a été confrontée à une vulnérabilité de type "zero-day". Cette vulnérabilité a été identifiée sous le nom de CVE-2023-7102 dans ses appliances Email Security Gateway (ESG). La situation a été exacerbée par l'exploitation active de cette faille par un groupe de pirates chinois connu sous le nom de UNC4841 Chinese. Dans ce blog, nous allons nous pencher sur la faille de sécurité de Barracuda zero-day de Barracudaen explorant ses complexités et l'impact qu'elle a sur la cybersécurité.


La faille Zero-Day de Barracuda

 

La cause première de la vulnérabilité des vulnérabilité des appareils Barracuda ESG réside dans une faiblesse de la bibliothèque tierce Spreadsheet::ParseExcel, qui fait partie intégrante de l'antivirus Amavis fonctionnant sur les appareils Barracuda ESG. Cette faille permet aux acteurs de la menace d'exécuter un code arbitraire sur les appareils ESG vulnérables par le biais d'une injection de paramètres.

 

La faille Zero-Day de Barracuda exploitée par des pirates chinois

 

UNC4841 a exploité cette vulnérabilité d'exécution de code arbitraire (ACE) pour déployer une pièce jointe Excel méticuleusement conçue, en exploitant la bibliothèque Spreadsheet::ParseExcel. En conséquence, un nombre limité d'appareils ESG ont été la proie de l'attaque, ce qui a donné lieu à des menaces de cybersécurité dans les appareils ESG.

Barracuda a réagi rapidement en déployant un correctif le 22 décembre 2023 pour remédier aux appareils ESG compromis, qui présentaient des indicateurs de compromission liés à de nouvelles variantes des logiciels malveillants SEASPY et SALTWATER.

Dans le cadre de l'enquête en cours sur la faille zero-day de Barracuda, l'organisation a assuré à ses clients qu'aucune action immédiate n'était nécessaire. Elle a également souligné son engagement à résoudre le problème et à garantir la sécurité des appliances ESG.

 

CVE-2023-7101 : une préoccupation plus large


Barracuda a notamment déposé le CVE-2023-7101 pour une vulnérabilité dans la bibliothèque open-source, qui a un impact sur divers produits au sein de plusieurs organisations. À l'heure actuelle, ce problème n'a toujours pas été résolu, ce qui ajoute un degré d'urgence supplémentaire au paysage de la cybersécurité.


Récapitulation de l'alerte sécurité du mois de mai


Ces exploits de type "zero-day" dans les dispositifs de sécurité des réseaux
exploits de type "zero-day" dans les dispositifs de sécurité du réseau Ce n'est pas la première fois que Barracuda est confrontée à des problèmes de cybersécurité. En mai, l'entreprise a lancé un avertissement à ses clients concernant des failles dans certains de ses appareils Email Security Gateway. D'après les Barracuda security breach newsUNC4841, le même groupe chinois a exploité une vulnérabilité de type "zero-day" (CVE-2023-2868) dans le module de filtrage des pièces jointes aux courriels. L'entreprise a rapidement remédié au problème en appliquant des correctifs de sécurité, mais a découvert par la suite que la vulnérabilité était exploitée depuis octobre 2022.


L'arsenal des logiciels malveillants


Les acteurs de la menace ont déployé deux puissantes familles de logiciels malveillants : SALTWATER et SEASPY. SALTWATER, un module contenant des logiciels malveillants pour le démon SMTP de Barracuda, était doté de diverses capacités, notamment la manipulation de fichiers, l'exécution de commandes et l'acheminement de trafic malveillant. D'autre part, SEASPY se présentait comme une porte dérobée persistante se faisant passer pour un service légitime de Barracuda Networks, surveillant activement le trafic SMTP sur le port 25.


Mesures d'assainissement urgentes


Début juin, Barracuda, avec le soutien de Mandiant, a demandé à ses clients de remplacer rapidement les appareils ESG concernés, quel que soit le niveau de la version du correctif. L'entreprise a mis l'accent sur le remplacement complet en tant que recommandation de remédiation dans les mises à jour de sécurité de l'appliance ESG.
Mises à jour de sécurité des appliances ESG.

Les États-Unis Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté le 28 mai la vulnérabilité zero-day Barracuda, récemment corrigée, à son catalogue des vulnérabilités exploitées connues (Known Exploited Vulnerabilities Catalog). Par la suite, la CISA a communiqué des détails techniques sur les familles de logiciels malveillants Submarine et Whirlpool associées aux attaques exploitant la faille susmentionnée.


UNC4841 : Le coupable

 

Les chercheurs de Mandiant ont établi un lien entre le groupe UNC4841 et les cyberattaques chinoises contre Barracuda. cyberattaques chinoises contre Barracudaqui ont commencé dès le 10 octobre 2022. Les acteurs de la menace ont utilisé des courriels de spear-phishing contenant des pièces jointes militarisées pour exploiter la vulnérabilité CVE-2023-2868, obtenant ainsi l'accès à des appliances Barracuda ESG vulnérables.


Le paysage des menaces actuelles


Une fois à l'intérieur des appareils ESG compromis, UNC4841 a été observé en train de voler des données spécifiques et, dans certains cas, d'utiliser les appareils compromis pour se déplacer latéralement à l'intérieur du réseau. Les acteurs de la menace ont également déployé des outils supplémentaires pour maintenir une présence persistante sur les appareils ESG.
Les meilleures pratiques de cybersécurité pour les appareils Barracuda sont essentielles pour garantir une protection solide de vos actifs numériques et de vos informations sensibles, car elles font partie intégrante du maintien d'une infrastructure réseau sécurisée et résiliente.


Conclusion


En conclusion, les récents incidents mettent en évidence l'évolution et la persistance des menaces dans le paysage de la cybersécurité. Barracuda se consacre à la résolution de ces
vulnérabilités de la sécurité des réseaux 2024 rapidement, à déployer des correctifs et à collaborer avec des experts du secteur pour étudier et atténuer les risques. L'engagement continu en faveur de la sécurité des clients et l'approche l'approche proactive des défis de cybersécurité renforcent la position de Barracuda en tant que partenaire fiable dans la protection des environnements numériques.

Alors que les organisations naviguent dans les complexités de la cybersécurité, rester informé et protéger les appareils du GNE contre les cybermenaces est primordial. En outre, l'adoption des meilleures pratiques et l'exploitation de l'expertise des partenaires en cybersécurité deviennent des éléments cruciaux dans le maintien d'une défense solide contre les menaces en évolution.

Les sources de cet article comprennent des articles dans The Hacker News et Security Affairs.

 

Résumé
Alerte : des acteurs chinois exploitent la faille Zero-Day de Barracuda
Nom de l'article
Alerte : des acteurs chinois exploitent la faille Zero-Day de Barracuda
Description
Découvrez la faille zero-day de Barracuda exploitée par des pirates chinois. Découvrez les dernières atteintes à la cybersécurité pour sécuriser vos systèmes.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information