Das Cybersicherheitsunternehmen und Google Cloud-Tochterunternehmen Mandiant hat dies getan angekündigt Es besteht der Verdacht, dass von China unterstützte Spione hinter der Ausnutzung einer Zero-Day-Schwachstelle im Barracuda Email Security Gateway (ESG) stecken könnten.
Forscher haben Angriffe auf einen China-Nexus-Akteur verfolgt, der offenbar Spionage „über eine Vielzahl von Regionen und Sektoren hinweg“ betrieben hat, darunter auch die US-Regierung.
In der Ankündigung wird detailliert beschrieben, wie der Angreifer mit dem Codenamen UNC4841 E-Mails mit schädlichen Dateien an gezielte Organisationen verschickte, die CVE-2023-2868 ausnutzten, um ersten Zugriff auf anfällige Barracuda ESG-Appliances zu erhalten.
Chinesische Spione könnten hinter dem Barracuda ESG-Angriff stecken
Die CVE-Beschreibung beschreibt detailliert die Schwachstelle, die die Versionen 5.1.3.001–9.2.0.006 betraf:
„Ein Remote-Angreifer kann gezielt formatieren [.tar] Dateinamen auf eine bestimmte Weise, die dazu führt, dass ein Systembefehl über den qx-Operator von Perl mit den Berechtigungen des Email Security Gateway-Produkts remote ausgeführt wird.“
Den Sicherheitskräften zufolge wurden der öffentliche und der private Sektor ins Visier genommen, wobei sich mehr als die Hälfte (55 %) auf dem amerikanischen Kontinent befanden. Die übrigen kamen zu fast gleichen Teilen aus den EMEA- und APAC-Regionen, wobei die Angriffe einen klaren Fokus „auf Themen zeigten, die für die Region hohe politische Priorität haben“. [People’s Republic of China].“
Der BNSF-36456-Patch wurde automatisch auf alle Appliances angewendet, allerdings könnten die Angriffe von Oktober 2022 bis Mai 2023 unentdeckt weitergegangen sein – ein Zeitraum von mehr als sieben Monaten.
Mandiant, der für die Äußerung der Bedenken verantwortlich war, sagte in einer Erklärung, dass man „Barracuda für sein entschlossenes Handeln, seine Transparenz und seinen Informationsaustausch nach der Ausnutzung von CVE-2023-2868 durch UNC4841 lobt“.
Dennoch bleibt die wahre Identität von UNC4841 unbestätigt, da die Gruppe immer noch auf freiem Fuß ist und wahrscheinlich andere Angriffe durchführt oder entwickelt und Schwachstellen anderswo ausnutzt.