企業(yè)安全公司Barracuda周二（5月30日）披露，自2022年10月以來，其電子郵件安全網(wǎng)關(guān)（ESG）設(shè)備中最近修補的一個零日漏洞被攻擊者濫用，對設(shè)備進(jìn)行后門攻擊。

最新調(diào)查結(jié)果顯示，這個被追蹤為CVE-2023-2868（CVSS評分：N/A）的關(guān)鍵漏洞在被發(fā)現(xiàn)之前至少已經(jīng)被利用了七個月。

Barracuda 在2023年5月19日發(fā)現(xiàn)的這個漏洞影響到5.1.3.001至9.2.0.006版本，可能允許遠(yuǎn)程代碼執(zhí)行。Barracuda 于5月20日和5月21日發(fā)布了補丁。

網(wǎng)絡(luò)和電子郵件安全公司在一份更新的公告中說：CVE-2023-2868被利用來獲得對ESG設(shè)備子集的未經(jīng)授權(quán)的訪問。在一部分設(shè)備上發(fā)現(xiàn)的惡意軟件允許持續(xù)的后門訪問。在一部分受影響的設(shè)備上發(fā)現(xiàn)了數(shù)據(jù)外流的證據(jù)。

到目前為止，已經(jīng)發(fā)現(xiàn)了三種不同的惡意軟件：

• SALTWATER ——Barracuda SMTP守護(hù)程序(bsmtpd)的特洛伊模塊，配備了上傳或下載任意文件、執(zhí)行命令以及代理和隧道惡意流量的功能，以便在雷達(dá)下飛行。
• SEASPY ——一個x64 ELF后門，提供持久性功能，并通過一個神奇的數(shù)據(jù)包來激活。
• SEASIDE ——一個基于Lua的模塊，用于bsmtpd，通過SMTP HELO/EHLO命令建立反向殼，通過惡意軟件的命令和控制（C2）服務(wù)器發(fā)送。

谷歌旗下的Mandiant公司表示，SEASPY和一個名為cd00r的開源后門之間的源代碼相互重疊，該公司正在調(diào)查這一事件。目前這些攻擊沒有被歸因于一個已知的威脅行為者或組織。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）上周也將該漏洞添加到其已知的已開發(fā)漏洞（KEV）目錄中，敦促聯(lián)邦機(jī)構(gòu)在2023年6月16日前應(yīng)用修復(fù)。

Barracuda沒有透露有多少企業(yè)受到影響，但列出了防范和修正指南供參考，并表示，正在進(jìn)行的調(diào)查可能會發(fā)現(xiàn)更多可能受到影響的用戶。

參考鏈接：https://thehackernews.com/2023/05/alert-hackers-exploit-barracuda-email.html