Barracuda ha informado que hackers de China explotaron una vulnerabilidad Zero-Day en los dispositivos de Email Security Gateway (EGS) para abrir backdoors de un número limitado de dispositivos.
Esta vulnerabilidad fue rastreada como CVE-2023-7102, contiene un código de ejecución arbitraria que reside dentro de una hoja de cálculo de división de terceros y de código abierto (ParseExcel) que es utilizado por el escáner Amavis dentro del Gateway.
La explotación exitosa de la nueva vulnerabilidad se logra mediante un archivo adjunto de correo electrónico de Microsoft Excel, después se despliegan nuevas variantes de implantes conocidos de nombre SEASPY and SALTWATER, que están equipados para ofrecer capacidades persistencia y ejecución de comando.
No obstante, la falla original en la hoja de cálculo (El módulo Perl de ParseExcel (versión 0.65) permanece en constante actividad y se le ha asignado para identificarlo CVE-2023-7101, lo que requiere que los usuarios intermedios tomen las medidas correctivas apropiadas. Según mandiant que ha estado investigando la campaña, se estima que varias organizaciones privadas y del sector público de al menos 16 países se han visto impactadas desde octubre de 2022.
A raíz del último desarrollo, se vuelve a hablar de la adaptabilidad de UNC4841, aprovechando nuevas tácticas y técnicas para mantener el acceso a objetivos de alta prioridad a medida que se cierran las lagunas existentes.
A todo esto, Barracuda lanzó una actualización de seguridad que se ha
aplicado de manera automática el 21 de diciembre del 2023 y asegura que no se requiere más acción de los clientes, además señala el despliegue de un parche para reparar los equipos EGS comprometidos que exhibían indicadores de compromiso relacionados con las variantes de malware recién identificadas un día después.