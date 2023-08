Beveiligingsupdates die netwerkbeveiliger Barracuda heeft uitgebracht voor een actief aangevallen zerodaylek in de Email Security Gateway werken niet waardoor de apparaten nog steeds het doelwit van aanvallen zijn, zo stelt de FBI (pdf). De Amerikaanse opsporingsdienst benadrukt dat organisaties ervan moeten uitgaan dat hun gateway is gecompromitteerd en adviseert de apparaten meteen uit het netwerk te verwijderen.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een e-mail met een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.

Barracuda ontdekte het zerodaylek op 19 mei van dit jaar, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens securitybedrijf Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Daarbij verstuurden de aanvallers e-mails die waarschijnlijk opzettelijk zo zijn gemaakt dat ze voor spam worden aangezien.

Na ontdekking van de zeroday-aanvallen kwam Barracuda met patches, maar die zijn volgens de FBI "ineffectief". De opsporingsdienst zegt dat het nog altijd aanvallen op Email Security Gateways waarneemt. Zodra de aanvallers toegang tot de gateway hebben installeren ze verschillende soorten malware om toegang te behouden, e-mails te onderscheppen en inloggegevens en data te stelen. In sommige gevallen wordt de besmette gateway gebruikt als toegang tot de rest van het netwerk of gebruikt voor het versturen van e-mails naar andere gateways.

De aanvallers, die volgens de FBI vermoedelijk vanuit China opereren, hebben daarbij een "aanzienlijk aantal" gateways gecompromitteerd. Om detectie te voorkomen passen de aanvallers anti-forensische technieken toe. De FBI heeft een lijst met indicators of compromise gegeven waarmee organisaties kunnen kijken of hun Barracuday-gateway ook is gecompromitteerd. In het geval dit zo is worden organisaties opgeroepen dit bij de FBI te melden.