As equipes de resposta a incidentes do Rapid7 estão a investigar a exploração de dispositivos físicos do Email Security Gateway (ESG) da Barracuda Networks desde pelo menos novembro de 2022. Desde 6 de junho de 2023, como parte de uma resposta contínua a incidentes de produtos, a Barracuda tem estado a pedir aos clientes ESG que desativem imediatamente e substituam TODOS os dispositivos físicos ESG, independentemente do nível de patch.
As equipes de resposta a incidentes do Rapid7 estão investigando a exploração de dispositivos físicos do Barracuda Email Security Gateway (ESG) desde pelo menos novembro de 2022. Substitua TODOS os dispositivos físicos ESG, independentemente do nível do patch.
Até agora, as equipes de serviços do Rapid7 identificaram atividades maliciosas que ocorreram em novembro de 2022, com a comunicação mais recente com a infraestrutura do agente de ameaças observada em maio de 2023. Em pelo menos um caso, o tráfego de rede de saída indicou possível exfiltração de dados.
Como mitigar
Os clientes que usam o dispositivo Barracuda ESG físico devem colocar o dispositivo off-line imediatamente e substituí-lo. A assessoria da Barracuda tem instruções para entrar em contato com o suporte. Os usuários também estão a ser aconselhados a alternar quaisquer credenciais conectadas ao dispositivo ESG, incluindo:
- Qualquer LDAP/AD conectado
- Barracuda Cloud Control
- Servidor FTP SMB
- Quaisquer certificados TLS privados
Os usuários do dispositivo ESG devem verificar se há sinais de comprometimento desde pelo menos outubro de 2022 usando os indicadores de rede e endpoint que a Barracuda divulgou publicamente.