企業安全公司Barracuda周二（5月30日）披露，自2022年10月以來，其電子郵件安全網關（ESG）設備中最近修補的一個零日漏洞被攻擊者濫用，對設備進行后門攻擊。

最新調查結果顯示，這個被追蹤為CVE-2023-2868（CVSS評分：N/A）的關鍵漏洞在被發現之前至少已經被利用了七個月。

Barracuda 在2023年5月19日發現的這個漏洞影響到5.1.3.001至9.2.0.006版本，可能允許遠程代碼執行。Barracuda 于5月20日和5月21日發布了補丁。

網絡和電子郵件安全公司在一份更新的公告中說：CVE-2023-2868被利用來獲得對ESG設備子集的未經授權的訪問。在一部分設備上發現的惡意軟件允許持續的后門訪問。在一部分受影響的設備上發現了數據外流的證據。

到目前為止，已經發現了三種不同的惡意軟件：

• SALTWATER ——Barracuda SMTP守護程序(bsmtpd)的特洛伊模塊，配備了上傳或下載任意文件、執行命令以及代理和隧道惡意流量的功能，以便在雷達下飛行。
• SEASPY ——一個x64 ELF后門，提供持久性功能，并通過一個神奇的數據包來激活。
• SEASIDE ——一個基于Lua的模塊，用于bsmtpd，通過SMTP HELO/EHLO命令建立反向殼，通過惡意軟件的命令和控制（C2）服務器發送。

谷歌旗下的Mandiant公司表示，SEASPY和一個名為cd00r的開源后門之間的源代碼相互重疊，該公司正在調查這一事件。目前這些攻擊沒有被歸因于一個已知的威脅行為者或組織。

美國網絡安全和基礎設施安全局（CISA）上周也將該漏洞添加到其已知的已開發漏洞（KEV）目錄中，敦促聯邦機構在2023年6月16日前應用修復。

Barracuda沒有透露有多少企業受到影響，但列出了防范和修正指南供參考，并表示，正在進行的調查可能會發現更多可能受到影響的用戶。

參考鏈接：https://thehackernews.com/2023/05/alert-hackers-exploit-barracuda-email.html