FBI-Warnung: Barracuda ESG-Updates unwirksam, Appliances sofort entfernen
(Bild: Gorodenkoff/Shutterstock.com)
Das FBI warnt vor den Barracuda-ESG-Schwachstellen, die Ende Mai bekannt wurden. Es geht davon aus, dass alle Geräte kompromittiert seien.
Die US-Bundespolizei FBI warnt aktuell vor der Zero-Day-Lücke in den E-Mail-Appliances Barracuda ESG. Diese werde weiterhin insbesondere von mutmaßlich chinesischen Cyberkriminellen missbraucht. Barracuda-Kunden sollten demnach alle ESG-Appliances umgehend entfernen.
Die Sicherheitslücke in den Barracuda E-Mail Security Gateways (ESG) wurde Ende Mai [1] dieses Jahres bekannt (CVE-2023-2868, CVSS 9.8, Risiko "kritisch"). Der Hersteller veröffentlichte Updates, diese erwiesen sich nach einer Infektion jedoch als nicht ausreichend. Angegriffene ESGs müssten sofort ausgetauscht [2] werden, riet Barracuda daraufhin. Details und weiterreichende Informationen zu dieser Notwendigkeit blieben bislang Mangelware.
FBI-Warnung: Alle Barracuda ESG entfernen
Das FBI hat eine Warnung veröffentlicht [3] und liefert darin jetzt konkretere Hinweise. Die IT-Forensiker des FBI haben demnach verifiziert, dass alle erfolgreich angegriffenen ESG-Appliances selbst nach Installieren der bereitgestellten Updates weiterhin ein Risiko zur Kompromittierung des Netzes darstellen. Die vermutlich aus China stammenden Angreifer haben die Schwachstelle missbraucht, um persistenten Zugang zu den Appliances zu erlangen. Sie können dadurch E-Mails untersuchen, Zugangsdaten abgreifen und Daten ausschleusen. Das FBI rät zunächst dazu, alle betroffenen ESG-Appliances zu isolieren und umgehend zu ersetzen sowie die Netzwerke auf die Verbindungen zu IP-Adressen auf der Liste die Einbruchsindizien (Indicators of Compromise, IOCs) aus dem Dokument zu prüfen.
Als konkrete Handlungsempfehlung gibt das FBI schließlich den weiterreichenden Hinweis: "Barracuda customers should remove all ESG appliances immediately. The patches released by Barracuda in response to this CVE were ineffective. The FBI continues to observe active intrusions and considers all affected Barracuda ESG appliances to be compromised and vulnerable to this exploit."
Auf Deutsch: Barracuda-Kunden sollten alle ESG-Appliances umgehend entfernen. Die von Barracuda veröffentlichten Patches als Reaktion auf diese CVE waren wirkungslos. Das FBI sieht weiterhin aktive Einbrüche und betrachtet alle betroffenen Barracuda-ESG-Appliances als kompromittiert und für diesen Exploit verwundbar.
Barracuda-ESG-Kunden sollen Netzwerke überprüfen
Da die Angreifer sich durch die Schwachstelle in den Netzwerken oftmals einnisten, rät das FBI Barracuda-ESG-Kunden weiter dazu, die Netzwerke auf Einbruchsspuren zu untersuchen. Dazu zählt die Sicherheitsbehörde
- die Überprüfung der E-Mail-Protokolle,
- das Zurückziehen und Erneuern von Domain-basierten und lokalen Zugangsdaten sowie Zertifikaten, die auf den ESG zum Zeitpunkt der Kompromittierung vorhanden waren,
- die Überwachung des Netzwerks auf die Nutzung von solchen Zugangsdaten sowie
- die Prüfung von Netzwerk-Protokollen auf Anzeichen von Datenabfluss und Fortbewegung von Angreifern im Netz und
- das Anlegen eines forensischen Abbilds von der Appliance sowie dessen forensische Analyse.
(dmk [4])
URL dieses Artikels:
https://www.heise.de/-9284695
Links in diesem Artikel:
[1] https://www.heise.de/news/Zero-Day-Luecke-Barracuda-verteilt-Update-fuer-Email-Security-Gateway-9064903.html
[2] https://www.heise.de/news/Cyberattacken-Admins-muessen-Barracuda-ESG-sofort-erseztzen-9181326.html
[3] https://www.ic3.gov/Media/News/2023/230823.pdf
[4] mailto:dmk@heise.de
Copyright © 2023 Heise Medien