CyberbezpieczeństwoRynek
Luka w urządzeniach bezpieczeństwa Barracuda Networks, firma zapowiada wymianę sprzętu
Aktualizacja 16.06.2023
Podatność wykryta w niektórych bramkach Email Security Gateway (ESG) firmy Barracuda Networks skłoniła producenta do wydania zaleceń pilnego wycofania urządzeń z użycia i zobowiązała się do nieodpłatnej wymiany zagrożonych urządzeń na sprzęt wolny od podatności.
Decyzja pozwala sądzić, że cyberprzestępcom udało się zmodyfikować działanie oprogramowania wbudowanego urządzeń brzegowych odpowiedzialnych za skanowanie przychodzącej i wychodzącej poczty elektronicznej – w usunięciu skutków luki wykrytej 19 maja nie pomogła bowiem aktualizacja wydana przez producenta dzień później.
Przypomnijmy, 18 maja 2023 przedstawiciele Barracuda Networks poinformowali o zatrudnieniu ekspertów z firmy Mandiant na potrzeby analizy nietypowego ruchu wychodzącego wykrytego na styku z niektórymi bramkami amerykańskiego producenta. Dzień później poinformowano o wykryciu nieznanej wcześniej luki bezpieczeństwa w oprogramowaniu części produktów klasy Email Security Gateway firmy Barracuda Networks. Już 20 maja br. udostępniono aktualizację usuwającą podatność we wszystkich dotkniętych nią urządzeniach (CVE-2023-2868). Przedstawiciele Barracuda Networks podkreślali wówczas, że luka istniała w komponencie oprogramowania odpowiedzialnym za weryfikację załączników do poczty e-mail pod kątem obecności złośliwego oprogramowania. Z analiz wynika, że atakujący po raz pierwszy zaczęli wykorzystywać podatność w październiku 2022 roku. Na niektórych systemach zidentyfikowano wręcz dowody eksfiltracji danych.
Jednocześnie, 6 czerwca przedstawiciele Barracuda Networks zaczęli niespodziewanie zalecać klientom szybkie wycofanie urządzeń z użytku. “Narażone urządzenia ESG muszą zostać natychmiast wymienione, niezależnie od wdrożonych aktualizacji” – przekazano. Przedstawiciele producenta zapewniają, że nieodpłatnie dostarczą klientom rozwiązania zastępcze. Takie działanie ma odpowiadać strategii Barracuda Networks, która zakłada m.in. konserwatywne podejście do ograniczania zagrożeń. Klientom zalecana jest też pilna zmiana danych uwierzytelniających, wprowadzenie polityki regularnej rotacji takich danych, a także przeprowadzenie analizy potencjalnych oznak naruszenia bezpieczeństwa od października 2022 roku w oparciu o udostępnione wskaźniki i wytyczne.
Jak się bowiem okazało, wykryta podatność została wykorzystana przez cyberprzestępców zainstalowanie złośliwego oprogramowania bezpośrednio w urządzeniach klasy ESG. Co ważne, sytuacja ta dotyczy jedynie niektórych urządzeń tej klasy firmy Barracuda Networks. Z analiz przeprowadzonych na początku czerwca wynika bowiem, że ślady naruszenia bezpieczeństwa przy użyciu rzeczonej podatności nosi ok. 5% aktywnych bramek ESG firmy Barracuda Networks w skali świata. Zdaniem ekspertów może to być jednak nawet kilkanaście tysięcy urządzeń. W przypadku części z nich nieautoryzowany ruch generowany w oparciu o wykrytą niemal miesiąc temu lukę jest nadal widoczny. Oznacza to, że w niektórych środowiskach podatność była – bądź ciągle jest – eksploatowana przez cyberprzestępców nawet przez kilka miesięcy.
Wedle zapowiedzi stosowne powiadomienia zostały przekazane już wszystkim klientom Barracuda Networks korzystającym z narażonych urządzeń. O konieczności pilnej wymiany sprzętu informować ma także stosowne powiadomienie widoczne w ramach środowiska obsługi urządzeń. “Jeśli żadne powiadomienie nie jest wyświetlane, nie mamy powodu, aby sądzić, że urządzenie zostało naruszone” – czytamy w oficjalnym komunikacie. “Żaden inny produkt, w tym nasze rozwiązania poczty e-mail SaaS, nie został dotknięty tą luką” – podkreślają przedstawiciele Barracuda Networks.
Oficjalny komentarz firmy Barracuda Networks:
Luka w zabezpieczeniach ESG umożliwiła atakującym uzyskanie dostępu i zainstalowanie złośliwego oprogramowania na pewnym podzbiorze urządzeń ESG. 20 maja 2023 r. firma Barracuda wdrożyła poprawkę do urządzeń ESG w celu usunięcia luki.
Nie wszystkie urządzenia ESG zostały naruszone, a podatność ta nie miała wpływu na żaden inny produkt Barracuda Networks, w tym na nasze rozwiązania poczty elektronicznej w modelu SaaS.
Na dzień 8 czerwca 2023 r. około 5% aktywnych urządzeń ESG na całym świecie wykazywało jakiekolwiek znane oznaki naruszenia bezpieczeństwa z powodu tej podatności. Pomimo wdrożenia dodatkowych poprawek adresujących zidentyfikowane IOC, nadal widzimy dowody aktywności złośliwego oprogramowania na podzbiorze zagrożonych urządzeń. W związku z tym chcielibyśmy, aby klienci wymienili każde urządzenie z tego zbioru na nowe.
Powiadomiliśmy klientów dotkniętych tym incydentem. Jeśli urządzenie ESG wyświetla powiadomienie w interfejsie użytkownika, oznacza to, że dotyczy je wspomniane naruszenie bezpieczeństwa. Jeśli powiadomienie się nie pojawia, nie mamy powodu sądzić, że integralność oprogramowania zainstalowanego na urządzeniu została w jakikolwiek sposób naruszona. Ponownie podkreślamy, że incydent ten miał wpływ tylko na określony podzbiór urządzeń ESG.
Ze względu na dużą ostrożność i w ramach naszej strategii ograniczania rozprzestrzeniania się zagrożeń zalecamy klientom, których to dotyczy, wymianę zagrożonego urządzenia. Każdy klient, który otrzymał powiadomienie w interfejsie użytkownika lub z którym skontaktował się przedstawiciel pomocy technicznej Barracuda, powinien wysłać do nas maila na adres: support@barracuda.com po to, by wymienić urządzenie ESG. Firma Barracuda dostarcza bezpłatnie nowe produkty w zastępstwie tych dotkniętych podatnością.
W przypadku pytań dotyczących podatności lub incydentu prosimy o kontakt pod adresem compliance@barracuda.com. Należy pamiętać, że nasze dochodzenie jest w toku i udostępniamy tylko zweryfikowane informacje.
Barracuda ściśle współpracuje z Mandiant, grupą ekspertów w dziedzinie cyberbezpieczeństwa, w ramach trwającego śledztwa.
Aktualizacja 16.06.2023
Przedstawiciele Barracuda Networks poinformowali, że za atakami wykorzystującymi wykrytą podatność może stać grupa cyberprzestęcpów powiązana z Chinami. Niewykluczone, że podatności wykryte w bramkach ESG firmy Barracuda były wykorzystywane do prowadzenia ataków ukierunkowanych wobec konkretnych osób i organizacji.
“W wyniku przeprowadzonego dochodzenia Mandiant zidentyfikował grupę cyberprzestępczą powiązaną z Chinami, obecnie śledzoną jako UNC4841, atakującą podzbiór urządzeń Barracuda ESG po to, by wykorzystać je do atakowania określonych organizacji i osób. Mandiant ocenia, że z dużym prawdopodobieństwem to UNC4841 stoi za tą ukierunkowaną kampanią działającą na rzecz Chińskiej Republiki Ludowej” – informują przedstawiciele Barracuda Networks
