يقوم باراكودا بإصلاح برنامج ESG الجديد الذي يستغله المتسللون الصينيون
تقول شركة باراكودا لأمن الشبكات والبريد الإلكتروني إنها قامت بتصحيح جميع أجهزة بوابة أمان البريد الإلكتروني النشطة (ESG) عن بعد في 21 ديسمبر ضد خطأ اليوم صفر الذي استغله المتسللون الصينيون UNC4841.
ونشرت الشركة موجة ثانية من التحديثات الأمنية في اليوم التالي على أجهزة ESG المعرضة للخطر بالفعل حيث قام المهاجمون بنشر برامج SeaSpy و Saltwater الضارة.
تم الكشف عنه عشية عيد الميلاد وتتبعه باسم CVE-2023-7102 ، ويرجع يوم الصفر إلى ضعف في مكتبة الطرف الثالث Spreadsheet::ParseExcel التي يستخدمها ماسح الفيروسات Amavis الذي يعمل على أجهزة Barracuda ESG.
يمكن للمهاجمين استغلال الخلل لتنفيذ تعليمات برمجية عشوائية على أجهزة ESG غير المصححة من خلال حقن المعلمات.
وقدمت الشركة أيضًا معرف CVE-2023-7101 CVE لتتبع الخطأ بشكل منفصل في المكتبة مفتوحة المصدر، والتي لا تزال تنتظر التصحيح.
وقال باراكودا في مذكرة صدرت يوم 24 ديسمبر/كانون الأول: “لا يلزم العملاء اتخاذ أي إجراء في هذا الوقت، وتحقيقنا مستمر” .
“يقدر باراكودا، الذي يعمل بالتعاون مع Mandiant، أن هذا النشاط يعزى إلى العمليات المستمرة لممثل الترابط الصيني الذي يتم تتبعه باسم UNC4841.
“بالنسبة للمؤسسات التي تستخدم Spreadsheet::ParseExcel في منتجاتها أو خدماتها الخاصة، نوصي بمراجعة CVE-2023-7101 واتخاذ تدابير العلاج اللازمة على الفور.”
الموجة الثانية من هجمات يوم الصفر هذا العام
في شهر مايو، استخدمت مجموعة المتسللين نفسها هجوم يوم الصفر ( CVE-2023-2868 ) لاستهداف أجهزة Barracuda ESG كجزء من حملة تجسس عبر الإنترنت.
وكشف باراكودا عن إساءة استخدام برنامج Zero-day في الهجمات لمدة سبعة أشهر على الأقل ، منذ أكتوبر 2022 على الأقل، لنشر برامج ضارة غير معروفة سابقًا وتسلل البيانات من الأنظمة المخترقة.
لقد نشروا البرامج الضارة SeaSpy وSaltwater والأداة الضارة SeaSide للوصول عن بعد إلى الأنظمة المخترقة عبر الأصداف العكسية.
تم نشر البرامج الضارة Submarine (المعروفة أيضًا باسم DepthCharge) و Wirlpool في نفس الهجمات مثل حمولات المرحلة اللاحقة للحفاظ على استمرارية عدد صغير من الأجهزة التي تم اختراقها مسبقًا على شبكات الأهداف ذات القيمة العالية.
كان دافع المهاجمين هو التجسس، حيث انخرط قراصنة UNC4841 في عمليات تسلل مستهدفة من الشبكات المخترقة إلى الحكومة رفيعة المستوى ومستخدمي التكنولوجيا المتقدمة.
خريطة لعملاء باراكودا المتأثرين بهجمات مايو
ما يقرب من ثلث الأجهزة التي تم اختراقها في حملة مايو مملوكة لوكالات حكومية ، معظمها بين أكتوبر وديسمبر 2022، وفقًا لشركة الأمن السيبراني Mandiant.
حذر باراكودا العملاء بعد هجمات مايو من أنه يجب عليهم استبدال جميع الأجهزة المتضررة على الفور ، حتى تلك التي قاموا بإصلاحها بالفعل (حوالي 5٪ من جميع الأجهزة تم اختراقها في الهجمات).
وتقول باراكودا إن أكثر من 200 ألف منظمة حول العالم تستخدم منتجاتها، بما في ذلك الشركات الكبرى مثل سامسونج، وكرافت هاينز، وميتسوبيشي، ودلتا إيرلاينز.