警惕：Barracuda Email Security Gateway 存在重大安全隐患

关键要点

FBI 警告 Barracuda 客户立即停止使用受影响的 Email Security GatewayESG设备。此漏洞源于一个被称为 UNC4841 的新威胁组织，可能与中国有关。Barracuda 虽已发布补丁，但 FBI 宣布这些补丁并未有效解决问题。建议用户检查网络日志，确保安全并防止未来的攻击。

Barracuda 客户目前仍在使用其受漏洞影响的 Email Security GatewayESG，应立即停止该设备的运行，这是 FBI 的警告。

每天免费2小时的加速器

全球有大量 ESG 设备在5月份遭遇了零日攻击，这次攻击归因于一个之前未知的威胁组织，Mandiant 称其为 UNC4841，该组织被怀疑与中国有关。

Barracuda 已推出针对关键远程命令注入漏洞的补丁 (CVE20232868)，并采取了不寻常的措施，通知客户将更换任何受影响的设备。

FBI 的网络部在周三更进一步，在一项 紧急通告PDF中表示，“Barracuda 客户应立即移除所有 ESG 设备”，因为“Barracuda 对此 CVE 发布的补丁无效”。

该局表示，已“独立验证所有受攻击的 ESG 设备，即使已推送补丁，仍面临来自怀疑为中方网络攻击者的继续网络入侵风险。”

UNC4841 已知从部分受影响系统中窃取数据，尤其侧重于公共部门。巴拉库达在6月表示，约一半的受影响设备位于美国。这也可能解释了 FBI 警告的强烈程度，已知攻击受害者中近三分之一为 政府机构。

“FBI 继续观察到活跃的入侵，并认为所有受影响的 Barracuda ESG 设备都已被攻破，并易受此漏洞影响，”该通告指出。

本月早些时候，网络安全和基础设施安全局CISA发布了一种名为 Whirlpool 的新后门恶意软件，作为与此漏洞相关的第三种新型后门变体。

ESG 漏洞允许对手发送包含恶意附件的电子邮件到目标组织。当 ESG 扫描该附件时，会与攻击者控制的域或 IP 地址建立连接。随后会建立一个反向 shell，允许进一步执行远程命令。

除了数据泄露，UNC4841 的利用还允许其进行电子邮件扫描、凭证窃取，并获得对受害者系统的持续访问权限。

FBI 列出了七个域和61个 IP 地址作为妥协指标。该局表示，威胁行为者使用“反取证技术”来隐藏其在被攻陷系统上的活动，令安全团队仅通过扫描设备 IOCs 难以发现任何入侵。

“因此，网络管理员必须扫描各种网络日志，以查找与任何列出的指标的连接，”通告强调。

Krebs on Security 创始人 Brian Krebs 在一则简短的 Mastodon 帖子 中总结了这一情况。

“FBI 表示，它仍在看到 Barracuda 的电子邮件安全网关设备通过导致 Barracuda 在2023年6月提出更换而非打补丁一系列 ESG 设备的漏洞而被积极攻破，”Krebs 发表道。“FBI 确认了 Mandiant 的中国关联，并说明只需