当前您所在的位置:首页>新闻中心>行业动态
新品发布
行业动态
营销活动

Barracuda敦促更换--而不是修补--其电子邮件安全网关

发布时间:2023/07/04 浏览量:1325

一个零日漏洞导致网络安全供应商敦促客户实际拆除和停用整条受影响的硬件--而不是仅仅应用软件更新--的情况并不多见。但专家说,这正是本周发生在Barracuda Networks的情况,因为该公司正在努力打击一个庞大的恶意软件威胁,该威胁似乎已经从根本上破坏了其电子邮件安全设备,使其无法再安全地更新软件修复。

 

Barracuda电子邮件安全网关(ESG)900设备。

总部位于加州坎贝尔的Barracuda表示,它在5月18日收到关于来自其电子邮件安全网关(ESG)设备的异常流量的报告后,聘请了事件响应公司Mandiant,这些设备被设计为位于组织的网络边缘并扫描所有传入和传出的电子邮件以寻找恶意软件。

5月19日,Barracuda发现恶意流量是利用了其ESG设备中一个以前未知的漏洞,5月20日,该公司向所有受影响的设备推送了一个漏洞补丁(CVE-2023-2868)。

在其安全公告中,Barracuda说该漏洞存在于负责筛选附件中的恶意软件的Barracuda软件组件。更令人震惊的是,该公司表示,攻击者似乎在2022年10月首次开始利用该漏洞。

但在6月6日,Barracuda突然开始敦促其ESG客户批量撕掉并更换--而不是打补丁--受影响的设备。

"受影响的ESG设备必须立即更换,无论补丁版本水平如何,"该公司的咨询警告说。"Barracuda目前的建议是完全更换受影响的ESG。"

在一份声明中,Barracuda说它将免费向受影响的客户提供替换产品,而且并非所有的ESG设备都受到影响。

"该公司说:"没有其他Barracuda产品,包括我们的SaaS电子邮件解决方案,受到这个漏洞的影响。"如果ESG设备在用户界面上显示一个通知,那么ESG设备就有被攻击的迹象。如果没有显示通知,我们没有理由相信该设备目前已被入侵。"

尽管如此,声明中说,"出于谨慎的考虑,并为了进一步推动我们的遏制战略,我们建议受影响的客户更换他们的受损设备。"

"截至2023年6月8日,全球约有5%的活跃ESG设备显示出因该漏洞而受到损害的任何证据,"该声明继续说道。"尽管根据已知的IOC部署了额外的补丁,但我们继续看到在被攻击的设备的一个子集上有持续的恶意软件活动证据。因此,我们希望客户用新的不受影响的设备来替换任何受影响的设备。"

Rapid7的Caitlin Condon称这一事件的显著转变 "相当惊人",并说全球似乎仍有大约11000台易受攻击的ESG设备连接到互联网。

"Condon写道:"从打补丁到完全替换受影响的设备的转变相当惊人,这意味着威胁者部署的恶意软件以某种方式实现了足够低的持久性,即使擦拭设备也无法消除攻击者的访问。

Barracuda说,在一部分设备上发现了恶意软件,允许攻击者对设备进行持续的后门访问,并在一些系统上发现了数据渗出的证据。

Rapid7表示,它没有看到任何证据表明攻击者正在利用该漏洞在受害者网络中横向移动。但是,这可能是对Barracuda客户的小小安慰,他们现在已经接受了外国网络间谍可能已经囤积了他们所有的电子邮件几个月的概念。

加州大学伯克利分校国际计算机科学研究所(ICSI)的研究员尼古拉斯-韦弗(Nicholas Weaver)说,该恶意软件很可能能够以某种不可修复的方式破坏为ESG设备提供动力的基础固件。

"恶意软件的目标之一是难以删除,这表明恶意软件破坏了固件本身,使其真的难以删除,而且非常隐蔽,"Weaver说。"这不是一个勒索软件的行为者,这是一个国家行为者。为什么?因为勒索软件的行为者并不关心这种级别的访问。他们不需要它。如果他们要进行数据敲诈,那就更像是打砸抢。如果他们要进行数据勒索,他们会对数据本身进行加密,而不是对机器进行加密"。

除了更换设备,Barracuda说ESG客户还应该轮换连接到设备上的任何凭证,并使用该公司公开发布的网络和终端指标,检查至少在2022年10月之前出现的破坏迹象。

美国东部时间6月9日上午11:55更新:Barracuda已经发布了关于该事件的最新声明,其中部分内容现在被摘录在上面。

 

 

北京哲想软件有限公司