1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Barracuda Exhorte À Remplacer — Et Non À Corriger-Ses Passerelles De Sécurité De Messagerie

Barracuda Exhorte À Remplacer — Et Non À Corriger-Ses Passerelles De Sécurité De Messagerie

Ce n'est pas souvent qu'une vulnérabilité zero-day amène un fournisseur de sécurité réseau à exhorter les clients à retirer physiquement et à mettre hors service une gamme entière de matériel affecté, au lieu de simplement appliquer des mises à jour logicielles. Mais les experts disent que c'est exactement ce qui s'est passé cette semaine avec Barracuda Réseaux, alors que l'entreprise luttait pour lutter contre une menace tentaculaire de logiciels malveillants qui semble avoir miné ses appliances de sécurité de messagerie d'une manière si fondamentale qu'elles ne peuvent plus être mises à jour en toute sécurité avec des correctifs logiciels.

L'appliance Barracuda ESG 900 (Passerelle de sécurité de messagerie électronique).

Campbell, Californie. Barracuda a déclaré avoir embauché une entreprise de réponse aux incidents Mandiant le 18 mai, après avoir reçu des informations sur un trafic inhabituel en provenance de son Passerelle de Sécurité des E-Mails Les appareils (ESG), conçus pour se trouver à la périphérie du réseau d'une organisation et analyser tous les e-mails entrants et sortants à la recherche de logiciels malveillants.

Le 19 mai, Barracuda a identifié que le trafic malveillant tirait parti d'une vulnérabilité jusque-là inconnue dans ses appliances ESG, et le 20 mai, l'entreprise a déployé un correctif pour la faille sur toutes les appliances affectées (Numéro CVE-2023-2868).

Dans son avis de sécurité, Barracuda a déclaré que la vulnérabilité existait dans le composant logiciel Barracuda chargé de filtrer les pièces jointes à la recherche de logiciels malveillants. Plus alarmant, la société a déclaré qu'il semble que les attaquants aient commencé à exploiter la faille en octobre 2022.

Mais le 6 juin, Barracuda a soudainement commencé à exhorter ses clients ESG à déchirer en gros et à remplacer — et non à réparer — les appareils affectés.

“Les appareils ESG impactés doivent être immédiatement remplacés quel que soit le niveau de version du correctif”, prévient l'avis de la société. "La recommandation de Barracuda à ce stade est le remplacement complet de l'ESG impacté.”

Rapide7‘s Caitlin Condon a écrit: il a qualifié cette tournure remarquable des événements d '” assez étonnante " et a déclaré qu'il semblait y avoir environ 11 000 appareils ESG vulnérables encore connectés à Internet dans le monde entier.

” Le passage du correctif au remplacement total des appareils affectés est assez étonnant et implique que les logiciels malveillants déployés par les acteurs de la menace atteignent en quelque sorte une persistance à un niveau suffisamment bas pour que même l'effacement de l'appareil n'éradique pas l'accès des attaquants", Condon a écrit.

Barracuda a déclaré que le logiciel malveillant avait été identifié sur un sous-ensemble d'appareils qui permettaient aux attaquants d'accéder de manière persistante par une porte dérobée aux appareils, et que des preuves d'exfiltration de données avaient été identifiées sur certains systèmes.

Rapid7 a déclaré n'avoir vu aucune preuve que les attaquants utilisent la faille pour se déplacer latéralement au sein des réseaux de victimes. Mais cela peut être une mince consolation pour les clients de Barracuda qui acceptent maintenant l'idée que les cyberespions étrangers ont probablement passé au peigne fin tous leurs courriels depuis des mois.

Nicholas Tisserand, chercheur à l'Université de Californie à Berkeley Institut International d'Informatique (ICSI), a déclaré qu'il est probable que le logiciel malveillant ait pu corrompre le micrologiciel sous-jacent qui alimente les périphériques ESG d'une manière irréparable.

“L'un des objectifs des logiciels malveillants est d'être difficiles à supprimer, ce qui suggère que le logiciel malveillant a compromis le micrologiciel lui-même pour le rendre vraiment difficile à supprimer et vraiment furtif”, a déclaré Weaver. “Ce n'est pas un acteur de ransomware, c'est un acteur étatique. Pourquoi? Parce qu'un acteur de ransomware ne se soucie pas de ce niveau d'accès. Ils n'en ont pas besoin. S'ils se lancent dans l'extorsion de données, cela ressemble plus à un smash-and-grab. S'ils demandent une rançon de données, ils chiffrent les données elles — mêmes, pas les machines.”

En plus de remplacer les appareils, Barracuda indique que les clients ESG doivent également faire pivoter toutes les informations d'identification connectées aux appareils et vérifier les signes de compromission remontant au moins à octobre 2022 à l'aide des indicateurs de réseau et de point de terminaison dont dispose l'entreprise rendu public.



>>Plus