• 尚無留言

駭客利用Barracuda郵件安全閘道漏洞進行攻擊

去年10月起，駭客就開始利用Barracuda的郵件安全閘道器漏洞進行攻擊行動。這漏洞允許第三方入侵者利用後門功能，對部分Barracuda用戶的系統部署惡意程式，包括Saltwater、Seaspy和Seaside。

攻擊細節

Barracuda本周二（5/30）公布了該 0-day 漏洞的 CVE 編號為 CVE-2023-2868 漏洞遭到攻擊的細節。從去年10月開始，駭客利用這漏洞在受駭系統上部署各種惡意程式。Barracuda也提供用於識別攻擊的端點設備網路入侵指標（IOC）供用戶參考。發生在 Barracuda Email Security Gateway 應用程式中，該產品廣為全球 200,000 個公私單位採用，包括大型企業如 Samsung、Mitsubishi、Kraft Heinz、Delta Airlines 以及各國政府機構。

惡意程式攻擊手法

根據調查，駭客部署的惡意程式包括具有後門功能的Saltwater、偽裝成合法Barracuda Networks服務的Seaspy以及使用Lua語言撰寫的Seaside。這些程式可以上傳或下載檔案，執行命令並具備代理和隧道功能。

Barracuda的應對措施

Barracuda已主動通知受到攻擊的用戶並提供建議。他們建議用戶確保郵件安全閘道器已部署最新的安全更新，停止使用受影響的設備，聯繫Barracuda獲取新的ESG虛擬或硬體設備，同時更新任何與閘道器相連的憑證。儘管攻擊行動於去年10月開始，Barracuda直到今年5月18日才發現異常流量，並立即請求資安業者Mandiant進行調查和修補。Barracuda也正在規劃一系列的修補策略，以增強其設備的安全性。