La empresa de seguridad de redes y correo electrónico Barracuda anunció que el 21 de diciembre realizó una corrección remota en todos los dispositivos activos de su puerta de enlace de seguridad de correo electrónico (ESG) para abordar una vulnerabilidad de día cero que estaba siendo aprovechada por piratas informáticos chinos conocidos como UNC4841.
Además, la compañía implementó una segunda ola de actualizaciones de seguridad al día siguiente en los dispositivos ESG que ya habían sido comprometidos por los atacantes, quienes habían instalado malware conocido como SeaSpy y Saltwater.
La vulnerabilidad, identificada como CVE-2023-7102 y revelada en Nochebuena, se originó en una debilidad en la biblioteca de terceros llamada Spreadsheet::ParseExcel, la cual es utilizada por el escáner de virus Amavis que se ejecuta en los dispositivos Barracuda ESG. Los atacantes podían aprovechar esta falla para ejecutar código malicioso en los dispositivos ESG sin parchear, simplemente inyectando parámetros.
Barracuda también ha asignado el identificador CVE CVE-2023-7101 para rastrear esta vulnerabilidad en la biblioteca de código abierto, la cual aún no ha sido corregida y está pendiente de actualización.
La empresa asegura que, en este momento, no es necesario que los clientes tomen medidas adicionales y que continúan investigando la situación. Además, en colaboración con Mandiant, Barracuda atribuye esta actividad al grupo chino UNC4841.
Te podrá interesar leer: ¿Tu software está al día?: Importancia de los Parches
Un exploit de día cero es un ataque cibernético que se aprovecha de una vulnerabilidad de software o hardware desconocida para los desarrolladores y el público. Estos ataques son particularmente peligrosos porque ocurren antes de que los desarrolladores tengan la oportunidad de crear y distribuir una solución o parche. En el caso del ataque reportado por The Hacker News, los hackers chinos explotaron una vulnerabilidad no revelada previamente, lo que les permitió acceder a sistemas sin ser detectados.
La detección temprana es crucial en la lucha contra los exploits de día cero. Esto implica monitorizar constantemente los sistemas en busca de comportamientos anómalos y utilizar soluciones de ciberseguridad avanzadas. Las organizaciones deben invertir en herramientas que utilizan inteligencia artificial y aprendizaje automático para identificar y responder a amenazas en tiempo real.
Te podrá interesar: Detectando Debilidades: Explorando Vulnerabilidades
Este año ha sido testigo de una segunda oleada de ataques de día cero por parte del mismo grupo de piratas informáticos. En mayo, este grupo empleó otra vulnerabilidad de día cero, identificada como CVE-2023-2868, para dirigirse a los dispositivos Barracuda ESG como parte de una campaña de ciberespionaje.
Barracuda reveló que esta vulnerabilidad había sido explotada durante un período de al menos siete meses, comenzando en octubre de 2022, para introducir malware previamente desconocido y robar datos de sistemas comprometidos. Los atacantes utilizaron el malware SeaSpy y Saltwater, así como la herramienta maliciosa SeaSide, para lograr acceso remoto a sistemas pirateados mediante shells inversos.
En algunos casos, se implementaron el malware Submarine (también conocido como DepthCharge) y Whirlpool junto con las cargas útiles de etapas posteriores, con el objetivo de mantener la persistencia en un número limitado de dispositivos que previamente habían sido comprometidos en redes de alto valor estratégico.
Te podrá interesar: Spyware: ¿Qué es y Cómo Detectarlo?
El motivo principal de estos atacantes era el espionaje, y sus objetivos incluían la exfiltración selectiva de datos de redes violadas, especialmente dirigida a usuarios gubernamentales y de alto perfil en el ámbito de la tecnología.
Se destacó que cerca de un tercio de los dispositivos pirateados en la campaña de mayo pertenecían a agencias gubernamentales, principalmente entre octubre y diciembre de 2022, según la firma de ciberseguridad Mandiant.
Después de los ataques en mayo, Barracuda emitió una advertencia a sus clientes, instándolos a reemplazar de inmediato todos los dispositivos comprometidos, incluso aquellos que habían sido parcheados previamente. Se estima que alrededor del 5% de todos los dispositivos fueron vulnerados en estos ataques.
Es importante destacar que Barracuda informa que más de 200,000 organizaciones en todo el mundo utilizan sus productos, entre las cuales se incluyen empresas de renombre como Samsung, Kraft Heinz, Mitsubishi y Delta Airlines.
Te podrá interesar leer: Protección contra Amenazas de Día Cero con Azure Sentinel
El exploit de día cero utilizado por hackers chinos es un recordatorio de que las amenazas cibernéticas están en constante evolución. Mantenerse informado, adoptar prácticas de seguridad proactivas y colaborar a nivel global son pasos cruciales para proteger nuestros sistemas y datos digitales. La ciberseguridad no es solo una responsabilidad individual; es un esfuerzo colectivo necesario para asegurar la integridad de nuestro mundo digital.