16/12/2024

Actu Cybersécurité

Depuis 7 mois, les pirates exploitent une faille zero-day dans les appliances Barracuda

Il y a quelques jours, Barracuda a mis en ligne un correctif de sécurité pour une faille de sécurité zero-day exploitée par les cybercriminels depuis octobre 2022 pour déployer des portes dérobées. 

Si vous utilisez une appliance Email Security Gateway de chez Barracuda, vous devez lire cet article avec une attention particulière !

Associée à la référence CVE-2023-2868, cette faille de sécurité a été identifiée le 19 mai 2023 par Barracuda après avoir mené des investigations en collaboration avec l'entreprise Mandiant. Suite à cette découverte, il en résulte que les appliances Email Security Gateway sont affectées et il y a de nombreuses versions concernées : de la version 5.1.3.001 à la version 9.2.0.006. La bonne nouvelle, c'est que des correctifs sont disponibles depuis le 20 mai et le 21 mai, selon les versions.

L'entreprise Barracuda estime qu'en exploitant cette vulnérabilité, un attaquant peut exécuter du code à distance sur l'appliance. De ce fait, il y a eu des appareils compromis : "CVE-2023-2868 a été utilisé pour obtenir un accès non autorisé à un sous-ensemble d'appareils ESG." - En l'occurrence les attaquants ont déployé une porte dérobée persistante et on parle d'exfiltration de données lors de certaines attaques.

À ce jour, sur ses appliances, Barracuda a fait la découverte de trois logiciels malveillants qui ont exploité cette faille de sécurité :

  • SALTWATER, un module trojanisé pour le démon SMTP Barracuda (bsmtpd) qui dispose de plusieurs fonctionnalités malveillantes (charger ou télécharger des fichiers, exécuter des commandes, acheminer du trafic malveillant via un proxy ou un tunnel).
  • SEASPY, une porte dérobée persistante au format ELF x64 qui est activée au moyen d'un paquet magique.
  • SEASIDE, un module basé sur Lua pour bsmtpd qui déploie des reverse shell contrôlés via des commandes SMTP HELO/EHLO envoyées par le serveur C2 du cybercriminel.

Même si l'on ignore combien il y a eu d'entreprises impactées par cette faille de sécurité, il est urgent de déployer le correctif sur les appliances ESG ! De son côté, l'agence américaine CISA a ajouté cette faille de sécurité à sa liste des vulnérabilités connues et exploitées dans des attaques.

Sur le site de Barracuda (ici), vous pouvez retrouver des informations sur les indicateurs de compromissions et la marche à suivre si votre appliance est impactée.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.