1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Barracuda Insta A Reemplazar, No Parchear, Sus Puertas De Enlace De Seguridad De Correo Electrónico

Barracuda Insta A Reemplazar, No Parchear, Sus Puertas De Enlace De Seguridad De Correo Electrónico

No es frecuente que una vulnerabilidad de día cero haga que un proveedor de seguridad de red inste a los clientes a eliminar y desmantelar físicamente una línea completa de hardware afectado, en lugar de solo aplicar actualizaciones de software. Pero los expertos dicen que eso es exactamente lo que ocurrió esta semana con Redes Barracuda, a medida que la compañía luchaba por combatir una amenaza de malware en expansión que parece haber socavado sus dispositivos de seguridad de correo electrónico de una manera tan fundamental que ya no se pueden actualizar de forma segura con correcciones de software.

El dispositivo Barracuda Email Security Gateway (ESG) 900.

Campbell, California. Barracuda, con sede en Nueva York, dijo que contrató a una empresa de respuesta a incidentes Mandiant el 18 de mayo, después de recibir informes sobre tráfico inusual proveniente de su Puerta de Enlace de Seguridad de Correo Electrónico Dispositivos (ESG), que están diseñados para ubicarse en el borde de la red de una organización y escanear todo el correo electrónico entrante y saliente en busca de malware.

El 19 de mayo, Barracuda identificó que el tráfico malicioso se estaba aprovechando de una vulnerabilidad previamente desconocida en sus dispositivos ESG, y el 20 de mayo la compañía envió un parche para la falla a todos los dispositivos afectados (CVE-2023-2868).

En asesoramiento de seguridad its, Barracuda dijo que la vulnerabilidad existía en el componente de software Barracuda responsable de detectar archivos adjuntos en busca de malware. Lo más alarmante es que la compañía dijo que parece que los atacantes comenzaron a explotar la falla en octubre de 2022.

Pero el 6 de junio, Barracuda de repente comenzó a instar a sus clientes de ESG a que arrancaran y reemplazaran al por mayor los electrodomésticos afectados, no los parches.

"Los dispositivos ESG afectados deben reemplazarse de inmediato, independientemente del nivel de versión del parche", advirtió el aviso de la compañía. "La recomendación de Barracuda en este momento es el reemplazo total de los ESG afectados .”

Rápido7's Caitlin Condon calificó este notable giro de los acontecimientos como "bastante sorprendente" y dijo que parece que hay aproximadamente 11,000 dispositivos ESG vulnerables que aún están conectados a Internet en todo el mundo.

"El pivote del parche al reemplazo total de los dispositivos afectados es bastante sorprendente e implica que el malware que los actores de amenazas implementaron de alguna manera logra persistencia a un nivel lo suficientemente bajo como para que incluso borrar el dispositivo no erradique el acceso de los atacantes", Condon escribió.

Barracuda dijo que el malware se identificó en un subconjunto de dispositivos que permitieron a los atacantes un acceso persistente de puerta trasera a los dispositivos, y que se identificó evidencia de exfiltración de datos en algunos sistemas.

Rapid7 dijo que no ha visto evidencia de que los atacantes estén usando la falla para moverse lateralmente dentro de las redes de las víctimas. Pero eso puede ser un pequeño consuelo para los clientes de Barracuda que ahora aceptan la idea de que los ciberespías extranjeros probablemente han estado aspirando todo su correo electrónico durante meses.

Nicholas Weaver, investigador de la Universidad de California, Berkeley Instituto Internacional de Informática (ICSI), dijo que es probable que el malware haya podido dañar el firmware subyacente que alimenta los dispositivos ESG de alguna manera irreparable.

"Uno de los objetivos del malware es ser difícil de eliminar, y esto sugiere que el malware comprometió el firmware en sí mismo para que sea realmente difícil de eliminar y realmente sigiloso", dijo Weaver. "Eso no es un actor de ransomware, es un actor estatal. ¿Por qué? Porque a un actor de ransomware no le importa ese nivel de acceso. No lo necesitan. Si van por la extorsión de datos, es más como un aplastamiento y agarre. Si buscan el rescate de datos, están cifrando los datos en sí, no las máquinas.”

Además de reemplazar dispositivos, Barracuda dice que los clientes de ESG también deben rotar cualquier credencial conectada a los dispositivos y verificar si hay signos de compromiso que se remonten al menos a octubre de 2022 utilizando los indicadores de red y punto final que tiene la compañía publicado públicamente.



>>Más