Ga naar inhoud

Aanbevolen berichten

Geplaatst:

De aanvallers die een wereldwijde zeroday-aanval tegen Barracuda Email Security Gateways (ESG) uitvoerden hielden er rekening mee dat de aanval zou worden ontdekt, en installeerden na de bekendmaking nieuwe malware op getroffen apparaten om zo ook nieuwe en opgeschoonde gateways te kunnen infecteren, zo stelt securitybedrijf Mandiant. Verder zochten de aanvallers vooral naar e-mailaccounts van medewerkers met een politieke of strategische interesse voor de Chinese overheid, aldus de onderzoekers van het bedrijf.

De Email Security Gateway is een product dat e-mailverkeer op malware, phishing en andere zaken controleert. Een kwetsbaarheid (CVE-2023-2868) in de gateway maakt het mogelijk voor een aanvaller, door het versturen van een e-mail met een speciaal geprepareerd .tar-bestand, systeemcommando's op de gateway uit te voeren en zo een backdoor te installeren. Het probleem wordt veroorzaakt doordat de gateway onvoldoende invoervalidatie uitvoert. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.4.

Barracuda ontdekte het zerodaylek op 19 mei van dit jaar, nadat het een dag eerder voor verdacht verkeer van een gateway was gewaarschuwd. Volgens Mandiant, dat onderzoek naar de aanvallen deed, wordt er al sinds 10 oktober vorig jaar misbruik van het lek gemaakt. Barracuda liet eerder al weten dat vijf procent van alle gateways wereldwijd is gecompromitteerd. Vooral in de Verenigde Staten en Canada blijken deze apparaten zich te bevinden. Dat kan volgens Mandiant ook te maken hebben met het klantenbestand, dat zich vooral in deze landen bevindt.

Verder stelt het securitybedrijf in een vandaag verschenen analyse dat de aanvallers er rekening mee hielden dat de zeroday-aanval zou worden opgemerkt. Een week nadat Barracuda bekendmaakte dat er een zerodaylek in de gateway zat, rolden de aanvallers onder een select aantal slachtoffers aanvullende malware uit met de naam Submarine of Depthcharge. Het ging met name om overheidsinstanties en techbedrijven.

Via deze malware konden de aanvallers opgeschoonde of nieuwe gateways opnieuw infecteren als getroffen organisaties een back-upconfiguratie van een eerder besmette gateway terugplaatsten. Onlangs liet de FBI nog weten dat de updates die Barracuda uitbracht om het zerodaylek te verhelpen onvoldoende waren en adviseerde om de gateways meteen uit het netwerk te verwijderen.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.