'Een op de drie organisaties aangevallen via Barracuda ESG is een overheidsorganisatie'
Bijna een derde van alle organisaties die door Chinese spionageacties via een lek in Barracuda Email Security Gateways (ESG's) zijn aangevallen waren overheidsorganisaties. Een deel van de getroffen organisaties wordt nog steeds aangevallen via backdoors die de aanvallers hebben aangebracht.
Dit meldt het securitybedrijf Mandiant, onderdeel van Google. Het gaat concreet om de kwetsbaarheid CVE-2023-2368 in producten van Barracuda. Dit is een zogeheten remote command injection-kwetsbaarheid, waarmee aanvallers op afstand code kunnen uitvoeren op kwetsbare systemen. Barracuda ESG appliances versie 5.1.3.001 tot 9.2.0.006 zijn kwetsbaar.
Backdoors geïnstalleerd
Mandiant waarschuwt dat cyberspionnen die via het lek overheidsorganisaties aanvielen in sommige gevallen backdoors hebben geïnstalleerd. Dit stelt hen in staat opnieuw toegang te verkrijgen tot systemen van slachtoffers, ook indien zij hun apparaten opschonen. Mandiant adviseert gebruikers de Barracuda-apparatuur uit te faseren en te vervangen. Ook Barracuda zelf adviseert dit; het bedrijf vergoedt de kosten die bedrijven hiervoor moeten maken.
Aanvallen die eerder zijn uitgevoerd via het lek schrijft Mandiant toe aan UNC4841. Dit is een groepering die naar verluid in China is gevestigd en zich richt op cyberspionage. De groepering zou drie verschillende backdoors hebben geïnstalleerd bij slachtoffers.
Indicators of Compromise
Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) publiceerde onlangs nog een lijst met Indicators of Compromise (IOC's) die organisaties kunnen gebruiken om te controleren of zij via CVE-2023-2868 zijn aangevallen.
Meer over Security
Over Wouter Hoeffnagel
