Wereldwijd zijn organisaties aangevallen via het zerodaylek in de Barracuda Email Security Gateway (ESG), waardoor aanvallers toegang tot het apparaat kregen en e-mails konden stelen, zo stelt securitybedrijf Mandiant. Eerder liet Barracuda al weten dat naar schatting zo'n vijf procent van alle gateways gecompromitteerd is. De netwerkbeveiliger wil echter geen concreet aantal noemen.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.

Barracuda ontdekte het zerodaylek op 19 mei, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Daarbij verstuurden de aanvallers e-mails die waarschijnlijk opzettelijk zo zijn gemaakt dat ze voor spam worden aangezien. Dat zou onderzoekers er moeten van weerhouden om een onderzoek in te stellen, aldus Mandiant. Het securitybedrijf zegt dat deze tactiek vaker bij zeroday-aanvallen in het verleden is toegepast.

Wereldwijd zijn organisaties via de aanval getroffen. Het gaat zowel om publieke als private instellingen, waaronder buitenlandse handelskantoren en academische onderzoeksorganisaties in Taiwan en Hong Kong. Een derde van de getroffen organisaties waren overheidsinstellingen. Verder onderzoek wijst uit dat de aanvallers daardoor toegang hebben gekregen tot e-mails van bekende academici in Taiwan en Hong Kong alsmede Aziatische en Europese overheidsfunctionarissen in Zuidoost-Azië.

Via de gecompromitteerde gateways werd actief gezocht naar e-mails om te stelen, die vervolgens als tar.gz-bestand naar de aanvallers werden teruggestuurd. In een klein aantal gevallen besloten de onderzoekers het netwerk van de getroffen organisatie verder te verkennen, merkt Mandiant op. Volgens het securitybedrijf zijn de aanvallen het werk van een aan de Chinese overheid gelieerde spionagegroep. Naar aanleiding van de aanvallen heeft Barracuda klanten opgeroepen om gecompromitteerde gateways te vervangen.