تعویض سخت افزار، توصیه باراکودا به مشتریان

به گزارش کارگروه امنیت خبرگزاری سایبربان، پس از اینکه این شرکت در این هفته یک اخطار فوری ارسال کرد و به مشتریان گفت که فوراً از رده خارج شده و همه نمونه‌های این فناوری را جایگزین کنند، توجهات به سوی این شرکت جلب شد.
این شرکت اخیرا گزارش داده بود که کاربران می‌توانند با موفقیت ابزارهای آسیب‌پذیر درگاه امنیتی ایمیل یا ای اس جی (Email Security Gateway (ESG)) را وصله کنند، اما این هفته به‌روزرسانی‌ای را منتشر کرد که می‌گوید سخت‌افزار باید فوراً بدون توجه به سطح نسخه وصله جایگزین شود.
اگر پس از دریافت اخطار در رابط کاربری خود، دستگاه خود را تعویض نکرده اید، اکنون با پشتیبانی تماس بگیرید؛ چرا که توصیه باراکودا در حال حاضر جایگزینی کامل ای اس جی آسیب دیده است.
باراکودا می گوید که ردپای این حادثه به نظر محدود است.
طبق بیانیه یکی از نمایندگان شرکت، از روز پنجشنبه، تقریباً 5 درصد از دستگاه‌های ای اس جی فعال در سراسر جهان شواهدی از نشانه‌های شناخته شده سازش به دلیل آسیب‌پذیری نشان داده‌اند.
آژانس امنیت سایبری و امنیت زیرساخت دو هفته پیش به آژانس‌های فدرال و مردم هشدار داده بود که یک آسیب‌پذیری با نام CVE-2023-2868 توسط هکرها برای اجرای از راه دور دستورات سیستم مورد سوء استفاده قرار می‌گیرد.
باراکودا در ماه مه گزارش داده بود که دو وصله جداگانه را به واحدهای ای اس جی برای رفع نقص در ماژولی که در ابتدا پیوست‌های ایمیل‌های دریافتی را غربال می‌کند، فرستاده است.
بعدازظهر پنج‌شنبه، شرکت امنیت سایبری رپید7 (Rapid7) گفته بود که تیم‌های واکنش به حوادث آن در حال حاضر در حال بررسی بهره‌برداری از دستگاه‌های ای اس جی هستند که قدمت آن حداقل به نوامبر ۲۰۲۲ بازمی‌گردد.
تیم‌های این شرکت با جدیدترین ارتباط با زیرساخت‌های عامل تهدید که در می 2023 مشاهده شد، فعالیت‌های مخرب را شناسایی کرده‌اند.
کیتلین کاندون، مدیر ارشد تحقیقات آسیب‌پذیری رپید7 در اطلاعیه‌ای می گوید:

حداقل در یک مورد، ترافیک شبکه خروجی حاکی از استخراج بالقوه داده‌ها بوده است.
کاربران دستگاه ای اس جی باید با استفاده از شبکه و نشانگرهای نقطه پایانی که باراکودا به صورت عمومی منتشر کرده است، نشانه‌هایی از مصالحه را بررسی کنند که قدمت آن حداقل به اکتبر 2022 بازمی‌گردد.

مایک پارکین از شرکت سایبر وولکان (Vulcan Cyber) می گوید که تغییر از وصله به دستگاه‌های کاملاً جایگزین احتمالاً به این دلیل انجام شده است که تحقیقات نشان می‌دهد هکرها می‌توانند تغییرات عمیق‌تری در سیستم عامل دستگاه ایجاد کنند که یک وصله ساده ممکن است به راحتی یا به طور کامل آن را اصلاح نکند.
او توضیح می دهد که با جایگزینی کیت، باراکودا می تواند کاملاً مطمئن باشد که کاربران یک سازش احتمالی را ریشه کن کرده اند، اما او همچنین خاطرنشان می کند که بدون دیدن نتایج تحقیقات شرکت، سخت است که بتوان فهمید که چرا آنها تغییر را انجام داده اند.
جان بامبنک، شکارچی تهدید اصلی شرکت نتنریچ (Netenrich) می گوید:

در نهایت، هنگامی که یک مهاجم امتیاز کافی بر روی یک دستگاه دریافت کند، حذف آن‌ها می‌تواند دشوار باشد، به خصوص اگر در حال نوشتن اسکریپت‌های توزیع شده مرکزی هستید که در وب باز مورد بحث قرار می‌گیرند. این دستگاه ها به عنوان یک خط مقدم سهل الوصول برای کارهای بعدی هکرها عمل خواهند کرد.
مهاجمان دقت زیادی دارند و همین موضوع حذف آنها را دشوار می کند. خوشبختانه، از آنجایی که ما در مورد لوازم مجازی صحبت می کنیم، تنها کاری که واقعاً باید انجام شود این است که یک ابزار مجازی جدید را تهیه و پیکربندی کنیم و دستگاه قدیمی را حذف کرده و یک دستگاه جدید برای جایگزینی آن تهیه کنیم.

باراکودا می گوید که ابتدا در مورد ترافیک غیرعادی ناشی از وسایل ای اس جی در 18 مه هشدار داده شد و شرکت امنیتی ماندیانت (Mandiant) برای بررسی این موضوع قبل از کشف CVE-2023-2868 استخدام می شود.
این توصیه به چندین نوع بدافزار اشاره می‌کند که در طول بهره‌برداری از این باگ مورد استفاده قرار گرفته‌اند، از جمله سه مورد با عنوان آب نمک یا سالت واتر (Saltwater)، جاسوس دریا یا سی اسپای (SeaSpy) و دریا کنار یا سی ساید (Seaside).
آنها به هکرها یک درب پشتی برای ورود به سیستم های در معرض خطر می دهند و به آنها اجازه می دهند تا طیف وسیعی از اقدامات را علیه شبکه های قربانی انجام دهند.