Gli Email Security Gateway (ESG) di Barracuda sotto attacco da parte di sospetti autori di minacce governative cinesi, avverte l’FBI.
Il Federal Bureau of Investigation (FBI) degli Stati Uniti ha emesso un avviso urgente riguardante la scoperta di una campagna di attacchi informatici orchestrata da sospetti attori legati al governo cinese, mirati agli apparecchi Email Security Gateway (ESG) prodotti dalla Barracuda Networks. Secondo l’agenzia, i sistemi ESG di Barracuda presentano vulnerabilità che permettono agli aggressori di ottenere accesso non autorizzato, effettuare la scansione delle email, raccogliere credenziali e sottrarre dati sensibili.
Ricordo che dopo la patch zero-day con exploit attivo già dello scorso giugno, l’azienda ha affermato senza ulteriori spiegazioni che i dispositivi dovevano essere sostituiti. Ed ecco la notizia attesa: le patch erano semplicemente inefficaci e i gateway si stanno “rompendo” di nuovo.
L’avviso dell’FBI ha suscitato preoccupazione all’interno della comunità della sicurezza informatica, poiché rivela che gli attacchi sfruttano la vulnerabilità nota come CVE-2023-2868. Questa vulnerabilità consente agli aggressori di manipolare gli allegati di file TAR in un modo specifico e di inviarli a indirizzi email associati ai dispositivi ESG. Una volta che il file dannoso viene scannerizzato dal dispositivo, vengono iniettati comandi nel sistema dell’ESG, permettendo agli aggressori di eseguire comandi di sistema con i privilegi del dispositivo stesso. Quello che preoccupa maggiormente è che l’attacco può essere scatenato semplicemente inviando email compromesse all’ESG, senza necessità di interazioni ulteriori da parte dell’utente.
Gli attacchi scoperti dall’FBI hanno permesso agli aggressori di ottenere un accesso persistente ai dispositivi ESG compromessi. Questo accesso prolungato ha consentito loro di eseguire attività di spionaggio, inclusa la scansione delle email, la raccolta di credenziali e l’esfiltrazione dei dati. Questo scenario solleva gravi preoccupazioni in termini di privacy e sicurezza nazionale, poiché potrebbe consentire a potenziali attori malevoli di accedere a informazioni sensibili e riservate.
L’FBI ha raccomandato fortemente a tutte le organizzazioni che utilizzano dispositivi ESG Barracuda di isolare e sostituire immediatamente i dispositivi interessati. Inoltre, è stato suggerito di eseguire scansioni approfondite delle reti per individuare eventuali connessioni sospette o indicatori di compromissione correlati. Questo avviso rappresenta un richiamo urgente per le aziende e le istituzioni a prendere misure immediate per garantire la protezione delle loro reti e dei dati sensibili.
L’incidente solleva nuovamente l’importanza di mantenere costantemente aggiornati i sistemi e di essere vigili riguardo alle vulnerabilità note. Anche se questa campagna sembra essere stata condotta da attori governativi cinesi, serve come promemoria per tutti gli attori della sicurezza informatica di rimanere attenti alle minacce emergenti e di adottare le misure appropriate per proteggere i propri sistemi e reti.
Mentre l’indagine sull’entità e l’estensione dell’attacco continua, l’attenzione globale è ora focalizzata sulla risposta delle organizzazioni coinvolte e su come prevenire futuri attacchi di questo genere.