Barracuda: Weiterhin Angriffe auf betroffene E-Mail Security-Kunden
Barracuda geht davon aus, dass Angreifer fünf Prozent der aktiven Email Security Gateway Appliances kompromittiert haben und dass es auf einigen Geräten "anhaltende Malware-Aktivitäten" gibt
Diese Enthüllung macht die frühere karge Empfehlung des Cybersecurity-Anbieter, dass Kunden ihre betroffenen Kunden ESG-Appliances, "sofort" ersetzen sollen, etwas verständlicher .
[Zum Thema: Barracuda Email Gateway Breach: 5 Things To Know]
In einer Presseerklärung erklärte Barracuda heute, dass "etwa 5 Prozent der weltweit aktiven ESG-Appliances Anzeichen für eine Gefährdung durch die Schwachstelle gezeigt haben."
"Trotz des Einsatzes zusätzlicher Patches, die auf bekannten IOCs basieren, sehen wir weiterhin Anzeichen für anhaltende Malware-Aktivitäten auf einer Untergruppe der kompromittierten Appliances", so das Unternehmen in seiner Erklärung. "Daher bitten wir unsere Kunden, alle kompromittierten Appliances durch ein neues, nicht betroffenes Gerät zu ersetzen."
Betroffenen Kunden werde Barracuda die Ersatz-Appliance kostenlos zur Verfügung stellen.
"Wenn eine ESG-Appliance eine Benachrichtigung in der Benutzeroberfläche anzeigt, hatte die ESG-Appliance Indikatoren für eine Kompromittierung festgestellt", sagte das Unternehmen. "Wenn keine Benachrichtigung angezeigt wird, haben wir keinen Grund zu der Annahme, dass die Appliance zu diesem Zeitpunkt kompromittiert wurde."
In einem Update zur Sicherheitslücke hatte Barracuda am Dienstag zum Austausch der betroffenen ESG-Appliances geraten, ohne jedoch Gründe für diese Empfehlung zu nennen oder mitzuteilen, ob der Security-Anbieter die Kosten für den Austausch übernimmt.
"Betroffene ESG-Appliances müssen, unabhängig von der Patch-Version, sofort ausgetauscht werden", so Barracuda vor einigen Tagen. Der vollständige Austausch sei die Empfehlung zur Behebung des Problems zum jetzigen Zeitpunkt.
Barracuda gab an, dass es einen Tag nach Entdeckung der Schwachstelle (am 19. Mai) einen Patch "für alle ESG-Appliances weltweit" bereitsetellte hatte. Ein zweiter Patch wurde dann am 21. Mai auf alle Email Security Gateway Appliances aufgespielt.
Die bisherige Untersuchung hat ergeben, dass die Schwachstelle "zu einem nicht autorisierten Zugriff auf eine Untergruppe von E-Mail-Gateway-Appliances führte". Betroffenen Kunden erhielten eine Benachrichtigung.
Öffentlich gemacht hatte das in Campbell, Kalifornien, ansässige Unternehmen die Sicherheitslücke erstmals am 24. Mai. Bei weiteren Untersuchungen mit Unterstützung der Incident-Response-Firma Mandiant hätten sich Beweise dafür gefunden, dass Angreifer die Sicherheitslücke bereits im Oktober 2022 ausgenutzt hatten, erklärte Barracuda in einer aktualisierten Mitteilung vom 1. Juni.
Das Email Security Gateway von Barracuda ist ein Produkt, das Kunden vor Ort zur Filterung ihres gesamten ein- und ausgehenden E-Mail-Verkehrs einsetzen. Die Appliance, die mit der Cloud verbunden ist, kommt häufig zum Schutz von Microsoft Exchange-Umgebungen zum Einsatz.
Die Untersuchungen ergaben, dass die Angreifer zwei Arten von Malware, Saltwater und SeaSpy, verwendeten, um eine Hintertür in die betroffenen ESG-Appliances zu bauen. Laut Barracuda verwendeten die Angreifer außerdem ein Tool namens SeaSide, um Befehle an die Systeme aus der Ferne zu übermitteln.
"Der Wechsel von einem Patch zu einem vollständigen Austausch der betroffenen Geräte ist ziemlich verblüffend und deutet darauf hin, dass die eingesetzte Malware auf einem so niedrigen Niveau persistent ist, dass selbst ein Löschen des Geräts den Zugriff der Angreifer nicht verhindern würde", so die Einschätzung von Caitlin Condon, Sicherheitsforscherin bei Rapid7, in einem Blogbeitrag am Donnerstag.