'Chinese aanvalsgroep zit achter aanvallen op Barracuda ESG-appliances'

Het bedrijf benadrukt dat alleen appliances die daadwerkelijk met malware zijn besmet vervangen hoeven worden. "Op 8 juni 2023 vertoonde ongeveer 5% van de actieve ESG-apparaten wereldwijd enig bewijs van bekende indicatoren van een inbreuk vanwege de kwetsbaarheid. Ondanks de implementatie van aanvullende patches op basis van bekende IOC's, blijven we bewijs zien van aanhoudende malware-activiteit op een subset van de gecompromitteerde apparaten. Daarom willen we dat klanten elk gecompromitteerd apparaat vervangen door een nieuw, onaangetast apparaat", schrijft Barracuda in een media statement.

Het bedrijf vervolgt: "We hebben klanten die getroffen zijn door dit incident op de hoogte gesteld. Als een ESG-appliance een melding weergeeft in de gebruikersinterface, had het ESG-appliance indicatoren van een compromis. Als er geen melding wordt weergegeven, hebben we geen reden om aan te nemen dat het apparaat op dit moment is gehackt. Nogmaals, slechts een subset van ESG-appliance werd getroffen door dit incident."

Chinese aanvalsgroep

In samenwerking met Mandiant deed Barracuda onderzoek naar de aanval op de appliances. Hieruit blijkt dat de aanval vermoedelijk het werk is van een Chinese aanvalsgroep die is geïdentificeerd als UNC4841. Via de appliances zou de groep een specifieke reeks organisaties en individuen hebben willen aanvallen. Het zou daarbij steun hebben gekregen vanuit de Chinese overheid.

In een blogpost schrijft Mandiant: "Tijdens het onderzoek identificeerde Mandiant een vermoedelijke China-nexus-actor, momenteel gevolgd als UNC4841, gericht op een subset van Barracuda ESG-appliance om te gebruiken als een vector voor spionage, verspreid over een groot aantal regio's en sectoren. Mandiant beoordeelt met groot vertrouwen dat UNC4841 een spionage-acteur is achter deze brede campagne ter ondersteuning van de Volksrepubliek China."

Media statement

De volledige media statement van Barracuda (in het Engels) is hieronder te vinden:

"The latest information related to the Barracuda’s Email Security Gateway (ESG) vulnerability and incident has been published on Barracuda’s Trust Center (https://www.barracuda.com/company/legal). The product CVE is published here: https://nvd.nist.gov/vuln/detail/CVE-2023-2868.

In addition, Mandiant published a blog on the incident with detailed findings published here: https://www.mandiant.com/resources/blog/barracuda-esg-exploited-globally.

An ESG product vulnerability allowed a threat actor to gain access to and install malware on a small subset of ESG appliances. On May 20, 2023, Barracuda deployed a patch to ESG appliances to remediate the vulnerability.

Not all ESG appliances were compromised, and no other Barracuda product, including our SaaS email solutions, were impacted by this vulnerability.

As of June 8, 2023, approximately 5% of active ESG appliances worldwide have shown any evidence of known indicators of compromise due to the vulnerability. Despite deployment of additional patches based on known IOCs, we continue to see evidence of ongoing malware activity on a subset of the compromised appliances. Therefore, we would like customers to replace any compromised appliance with a new unaffected device.

We have notified customers impacted by this incident. If an ESG appliance is displaying a notification in the User Interface, the ESG appliance had indicators of compromise. If no notification is displayed, we have no reason to believe that the appliance has been compromised at this time. Again, only a subset of ESG appliances were impacted by this incident.

Barracuda’s guidance remains consistent for customers. Out of an abundance of caution and in furtherance of our containment strategy, we recommend impacted customers replace their compromised appliance. If a customer received the User Interface notification or has been contacted by a Barracuda Technical Support Representative, the customer should contact support@barracuda.com to replace the ESG appliance. Barracuda is providing the replacement product to impacted customer at no cost.

Barracuda engaged and continues to work closely with Mandiant, leading global cyber security experts, in this ongoing investigation.

Through its investigation, Mandiant identified a suspected China-nexus actor, currently tracked as UNC4841, targeting a subset of Barracuda ESG appliances to utilize as a vector to target specific organizations and individuals. Mandiant assesses with high confidence that UNC4841 is the actor behind this targeted campaign working in support of the People’s Republic of China.

If customers have questions on the vulnerability or incident, please contact compliance@barracuda.com. Please note that our investigation is ongoing, and we are only sharing verified information."