Нечасто уязвимость нулевого дня заставляет поставщика сетевой безопасности призывать клиентов физически удалить и вывести из эксплуатации целую линейку уязвимого оборудования, а не просто установить обновления программного обеспечения. Но эксперты говорят, что именно это произошло на этой неделе с Сети Барракудапоскольку компания изо всех сил боролась с растущей угрозой вредоносного ПО, которое, по-видимому, подорвало ее устройства безопасности электронной почты настолько фундаментальным образом, что их больше нельзя безопасно обновлять с помощью программных исправлений.
Устройство Barracuda Email Security Gateway (ESG) 900.
Кэмпбелл, штат Калифорния, компания Barracuda заявила, что наняла фирму по реагированию на инциденты. Мандиант 18 мая после получения сообщений о необычном трафике, исходившем от его Шлюз безопасности электронной почты (ESG), которые предназначены для размещения на границе сети организации и сканирования всей входящей и исходящей электронной почты на наличие вредоносных программ.
19 мая компания Barracuda обнаружила, что вредоносный трафик использует ранее неизвестную уязвимость в ее устройствах ESG, а 20 мая компания выпустила исправление для устранения уязвимости на всех затронутых устройствах (CVE-2023-2868).
В его рекомендации по безопасности, Барракуда сказал, что уязвимость существовала в программном компоненте Barracuda, отвечающем за проверку вложений на наличие вредоносных программ. Что еще более тревожно, компания заявила, что злоумышленники впервые начали использовать уязвимость в октябре 2022 года.
Но 6 июня Barracuda внезапно начала призывать своих клиентов ESG оптом вырывать и заменять — а не исправлять — неисправные устройства.
«Поврежденные устройства ESG должны быть немедленно заменены независимо от версии исправления», — предупреждает компания. «В настоящее время Barracuda рекомендует полную замену затронутого ESG».
В своем заявлении Barracuda заявила, что будет бесплатно предоставлять продукт на замену пострадавшим клиентам, и что не все устройства ESG были скомпрометированы.
«Ни один другой продукт Barracuda, включая наши почтовые решения SaaS, не пострадал от этой уязвимости», — заявили в компании. «Если устройство ESG отображает уведомление в пользовательском интерфейсе, это значит, что на устройстве ESG есть индикаторы компрометации. Если уведомление не отображается, у нас нет оснований полагать, что в данный момент устройство было скомпрометировано».
Тем не менее, в заявлении говорится, что «из соображений предосторожности и в соответствии с нашей стратегией сдерживания мы рекомендуем пострадавшим клиентам заменить свое скомпрометированное устройство».
«По состоянию на 8 июня 2023 года примерно 5% активных устройств ESG по всему миру демонстрировали какие-либо признаки известных признаков компрометации из-за уязвимости», — говорится в заявлении. «Несмотря на развертывание дополнительных исправлений на основе известных IOC, мы по-прежнему наблюдаем свидетельства продолжающейся активности вредоносного ПО на части скомпрометированных устройств. Поэтому мы хотели бы, чтобы клиенты заменили любое скомпрометированное устройство новым неповрежденным устройством».
Рапид7х Кейтлин Кондон назвал этот замечательный поворот событий «достаточно ошеломляющим» и сказал, что, по-видимому, около 11 000 уязвимых устройств ESG все еще подключены к Интернету по всему миру.
«Поворот от исправления к полной замене затронутых устройств довольно ошеломляющий и подразумевает, что вредоносное ПО, развернутое злоумышленниками, каким-то образом достигает устойчивости на достаточно низком уровне, так что даже очистка устройства не уничтожит доступ злоумышленника», — Кондон. написал.
Барракуда сказал, что вредоносное ПО было обнаружено на подмножестве устройств, которые позволили злоумышленникам получить постоянный бэкдор-доступ к устройствам, и что в некоторых системах были обнаружены доказательства утечки данных.
Rapid7 заявила, что не обнаружила доказательств того, что злоумышленники используют уязвимость для бокового перемещения в сетях жертв. Но это может быть слабым утешением для клиентов Barracuda, которые сейчас смирились с мыслью, что иностранные кибершпионы, вероятно, месяцами просматривали всю их электронную почту.
Николас Уиверисследователь Калифорнийского университета в Беркли. Международный институт компьютерных наук (ICSI) заявил, что вредоносная программа, вероятно, смогла непоправимо повредить базовую прошивку, которая питает устройства ESG.
«Одна из целей вредоносного ПО — сделать так, чтобы его было трудно удалить, и это говорит о том, что вредоносное ПО скомпрометировало саму прошивку, что сделало ее очень трудно удаляемой и очень незаметной», — сказал Уивер. «Это не актор-вымогатель, это государственный актор. Почему? Потому что хакеру-вымогателю наплевать на этот уровень доступа. Им это не нужно. Если они идут на вымогательство данных, это больше похоже на разгром и захват. Если они собираются выкупить данные, они шифруют сами данные, а не машины».
В дополнение к замене устройств, Barracuda говорит, что клиенты ESG должны также менять все учетные данные, подключенные к устройству (устройствам), и проверять наличие признаков компрометации, начиная как минимум с октября 2022 года, используя индикаторы сети и конечных точек, которые есть у компании. выпущен публично.
Обновление, 9 июня, 11:55 по восточному времени: Barracuda выпустила обновленное заявление об инциденте, фрагменты которого приведены выше.
2023-06-10 20:06:32
1686428945
#Barracuda #призывает #заменить #не #исправлять #свои #шлюзы #безопасности #электронной #почты
