Una semana después del aviso inicial, Barracuda ha estado pidiendo a sus usuarios que reemplacen todos los dispositivos ESG para siempre, para evitar las intrusiones de piratas informáticos.

Los dispositivos ESG de Barracuda estaban infectados con una falla crítica de inyección de comandos que luego se resolvió con un parche. Sin embargo, Barracuda aconseja a los usuarios que reemplacen todos sus dispositivos ESG sin mencionar el motivo. Los piratas informáticos habían estado apuntando a estos dispositivos ESG vulnerables con malware especial para robar información todo este tiempo.

Remediación confiable de Barracuda

Para los desconocidos, Barracuda es una empresa de seguridad de red y correo electrónico que presta servicios a más de 200 000 organizaciones en su cartera, incluidas algunas empresas de alto perfil como Samsung , Delta Airlines, Mitsubishi y Kraft Heinz. A fines del mes pasado, la compañía compartió un aviso que indica que sus dispositivos Email Security Gateway (ESG) están siendo atacados debido a una falla de inyección de comando remoto rastreada como CVE-2023-2868.

Esto se denominó vulnerabilidad de día cero, y los piratas informáticos de todo el mundo pronto se pondrán al día con un nuevo script. Barracuda dice que los actores de amenazas han estado explotando el error durante al menos siete meses y han estado robando los datos del cliente.

Más específicamente, los atacantes han estado instalando el malware Saltwater en la puerta trasera de un subconjunto de dispositivos ESG. Esto les permitió un acceso persistente para instalar shells inversos, lo que los llevó a robar datos confidenciales de las empresas víctimas.

Aunque Barracuda compartió una actualización de seguridad para parchear esto, no era seguro , ya que la compañía ahora pide a sus usuarios que reemplacen el dispositivo ESG afectado para siempre. Se insta a aquellos que no lo hayan hecho a que se comuniquen con el equipo de soporte por correo electrónico con urgencia.

También se recomienda a otros clientes (usuarios) que investiguen sus entornos en busca de signos de intrusión, mientras que CISA agregó la vulnerabilidad CVE-2023-2868 a su catálogo de errores bajo explotación y solicita a las agencias federales con dispositivos ESG que verifiquen sus redes en busca de evidencia de infracciones. .