Support technique
Documentation
Connexion
Nous contacter
TuxCare Blog
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) tient une liste régulièrement mise à jour des vulnérabilités exploitées connues (KEV) afin de mieux comprendre les menaces posées par les vulnérabilités logicielles qui sont activement exploitées "dans la nature".
Récemment, l'agence a publié un avertissement concernant une vulnérabilité de type "zero-day" découverte dans les appliances Barracuda Email Security Gateway (ESG), désignée sous le nom de CVE-2023-2868, qui a maintenant été ajoutée à la KEV.
Cette solution logicielle particulière est utilisée par plus de 200 000 organisations dans le monde, dont de très grandes entreprises telles que Samsung, Mitsubishi, Kraft Heinz et Delta Airlines. L'exploit de type "zero-day" en question visait les appliances ESG de Barracuda, ce qui a conduit à un accès non autorisé à un sous-ensemble de ces appareils. Les agences fédérales de la branche exécutive civile (FCEB) ont d'abord été invitées à corriger ou à atténuer la vulnérabilité, mais Barracuda a rapidement déployé deux correctifs de sécurité, rendant la directive inutile.
La faille a été officiellement identifiée le 19 mai 2023 et Barracuda a rapidement réagi en appliquant un correctif de sécurité à toutes les appliances ESG le 20 mai et en bloquant l'accès des attaquants le jour suivant. Cependant, après analyse, il s'est avéré que l'exploit avait été utilisé dès le mois d'octobre 2022. avait été utilisé dès octobre 2022 et avait été activement exploité pendant au moins sept mois avant le déploiement des correctifs. L'enquête de Barracuda a permis de découvrir que des acteurs de la menace avaient installé des portes dérobées sur les appareils ESG compromis et avaient réussi à voler des données.
L'exploit a entraîné le déploiement de plusieurs souches de logiciels malveillants inconnues jusqu'alors, spécialement conçues pour être utilisées sur les appareils ESG compromis.
Saltwaterpar exemple, est un module malveillant de démon SMTP Barracuda (bsmtpd) qui permet aux attaquants d'accéder de manière détournée aux appareils infectés. Une autre souche a été déployée au cours de cette campagne, SeaSpypermet de surveiller le trafic du port 25 (SMTP). Les auteurs de la menace ont également utilisé un module malveillant bsmtpd baptisé SeaSide pour établir des shells inversés via des commandes SMTP HELO/EHLO envoyées par le serveur de commande et de contrôle (C2) du logiciel malveillant.
Malgré la réaction rapide de Barracuda et les correctifs déployés par la suite, ce cas souligne les risques inhérents aux vulnérabilités des logiciels. Le temps qui s'écoule entre l'identification d'une vulnérabilité et le déploiement d'un correctif représente une fenêtre d'opportunité pour les acteurs malveillants. Cette période, au cours de laquelle une vulnérabilité peut ne pas être encore connue du public, permet à des exploits potentiels de passer sous le radar de la cybersécurité.
La spécificité des outils malveillants utilisés, le couplage étroit avec le logiciel habituel du GNE et la façon dont ces outils ont réussi à maintenir l'intégrité opérationnelle du GNE tout en ajoutant un comportement malveillant sont des signes révélateurs du temps qu'il a fallu pour développer, tester et déployer de tels outils, et montrent clairement combien de temps à l'avance les acteurs de la menace ont dû travailler sur la vulnérabilité avant qu'elle ne soit publiquement reconnue.
Pour réduire le risque de telles attaques, la CISA conseille aux agences fédérales et aux entreprises privées de patcher en priorité les bogues figurant sur la liste KEV. Il est également conseillé aux clients de s'assurer que leurs appliances ESG sont à jour, de cesser d'utiliser les appliances piratées et de demander une nouvelle appliance virtuelle ou matérielle, de changer toutes les informations d'identification liées aux appliances piratées et de vérifier les journaux de leur réseau pour détecter les indicateurs de compromission (IoC) et les connexions provenant d'IP inconnues.
L'exploit "zero-day" de Barracuda souligne la complexité et les défis permanents de la gestion des vulnérabilités logicielles. Ces vulnérabilités ne naissent pas simplement au moment où elles sont publiées sur un CVE tracker. Elles sont analysées, discutées et probablement diffusées entre les chercheurs en sécurité, les équipes de développement du logiciel, les listes de diffusion sur la sécurité et d'autres points de vente avant d'être divulguées "publiquement". Cela crée une importante fenêtre de vulnérabilité où les logiciels de sécurité peuvent ne pas encore protéger contre la menace ou même la détecter, mais où les acteurs malveillants peuvent déjà travailler sur le code d'exploitation ou même l'utiliser.
