Barracuda đã tiết lộ rằng các tác nhân đe dọa Trung Quốc đã khai thác một zero-day mới trong các thiết bị Email Security Gateway (ESG) của mình để triển khai backdoor trên một "số lượng hạn chế" thiết bị.
Được theo dõi là CVE-2023-7102, vấn đề liên quan đến trường hợp thực thi mã tùy ý nằm trong thư viện mã nguồn mở và bên thứ ba Bảng tính::P arseExcel được sử dụng bởi máy quét Amavis trong cổng.
Công ty cho rằng hoạt động này là do một tác nhân đe dọa được Mandiant thuộc sở hữu của Google theo dõi là UNC4841, trước đây có liên quan đến việc khai thác tích cực một zero-day khác trong các thiết bị Barracuda (CVE-2023-2868, điểm CVSS: 9,8) vào đầu năm nay.
Việc khai thác thành công lỗ hổng mới được thực hiện bằng tệp đính kèm email Microsoft Excel được chế tạo đặc biệt. Tiếp theo là việc triển khai các biến thể mới của cấy ghép đã biết được gọi là SEASPY và SALTWATER được trang bị để cung cấp khả năng thực thi lệnh và bền bỉ.
Barracuda cho biết họ đã phát hành bản cập nhật bảo mật đã được "áp dụng tự động" vào ngày 21/12/2023 và không cần thêm hành động nào của khách hàng.
Nó cũng chỉ ra rằng họ "đã triển khai một bản vá để khắc phục các thiết bị ESG bị xâm nhập, thể hiện các dấu hiệu thỏa hiệp liên quan đến các biến thể phần mềm độc hại mới được xác định" một ngày sau đó. Nó không tiết lộ quy mô của thỏa hiệp.
Điều đó nói rằng, lỗ hổng ban đầu trong mô-đun Bảng tính: :P arseExcel Perl (phiên bản 0.65) vẫn chưa được vá và đã được gán mã định danh CVE CVE-2023-7101, yêu cầu người dùng hạ nguồn thực hiện hành động khắc phục thích hợp.
Theo Mandiant, tổ chức đang điều tra chiến dịch, một số tổ chức khu vực tư nhân và công cộng ở ít nhất 16 quốc gia ước tính đã bị ảnh hưởng kể từ tháng 10/2022.
Sự phát triển mới nhất một lần nữa nói lên khả năng thích ứng của UNC4841, tận dụng các chiến thuật và kỹ thuật mới để duy trì quyền truy cập vào các mục tiêu ưu tiên cao khi các lỗ hổng hiện tại được đóng lại.