Siber güvenlik firması ve Google Cloud yan kuruluşu Mandiant, ilan edildi Çin destekli casusların Barracuda Email Security Gateway’deki (ESG) sıfırıncı gün güvenlik açığının istismar edilmesinin arkasında olabileceğine dair şüpheler.
Araştırmacılar, ABD hükümeti de dahil olmak üzere “çok sayıda bölgeye ve sektöre yayılan” casusluk yürüttüğü anlaşılan Çin bağlantılı bir aktöre yönelik saldırıların izini sürdüler.
Duyuru, kod adı UNC4841 olan saldırganın, savunmasız Barracuda ESG cihazlarına ilk erişim elde etmek için CVE-2023-2868’den yararlanacak hedef kuruluşlara kötü amaçlı dosyalar içeren e-postaları nasıl gönderdiğini ayrıntılarıyla anlatıyor.
CVE açıklaması, 5.1.3.001-9.2.0.006 sürümlerini etkileyen güvenlik açığının ayrıntılarını verir:
“Uzaktaki bir saldırgan, özellikle [.tar] dosya adlarını, E-posta Güvenliği Ağ Geçidi ürününün ayrıcalıklarıyla Perl’in qx operatörü aracılığıyla uzaktan bir sistem komutunun yürütülmesiyle sonuçlanacak şekilde belirli bir şekilde.
Güvenlik çalışanlarına göre, yarısından fazlası (%55) Amerika’da olmak üzere kamu ve özel sektör hedef alındı. Geri kalanlar, EMEA ve APAC bölgelerinden neredeyse eşit parçalar halinde geldi ve saldırılar, “ulusal yönetim için yüksek politika öncelikleri olan konulara” net bir şekilde odaklanıldığını gösteriyor. [People’s Republic of China]”
BNSF-36456 yaması tüm cihazlara otomatik olarak uygulandı, ancak saldırılar Ekim 2022’den Mayıs 2023’e kadar yedi aydan uzun bir süre boyunca fark edilmeden devam ediyor olabilirdi.
Endişeyi dile getirmekten sorumlu olan Mandiant yaptığı açıklamada, “Barracuda’yı CVE-2023-2868’in UNC4841 tarafından istismar edilmesinin ardından kararlı eylemleri, şeffaflığı ve bilgi paylaşımından dolayı takdir ettiğini” söyledi.
Bununla birlikte, UNC4841’in gerçek kimliği doğrulanmadı, grup hala geniş ve muhtemelen başka saldırılar gerçekleştiriyor veya geliştiriyor ve başka yerlerdeki güvenlik açıklarından yararlanıyor.