Китайские хакеры привлекли к себе внимание после эксплуатации уязвимости в популярном продукте компании.
Компания Barracuda, занимающаяся безопасностью сетей и электронной почты, заявила, что 21 декабря она удаленно устранила уязвимость нулевого дня во всех активных устройствах Email Security Gateway (ESG), которую использовали китайские хакеры UNC4841.
Компания также развернула вторую волну обновлений безопасности на уже скомпрометированных устройствах ESG, на которых злоумышленники установили вредоносное ПО SeaSpy и Saltwater.
Обнаруженная в канун Рождества и отслеживаемая как CVE-2023-7102 zero-day уязвимость вызвана ошибкой в сторонней библиотеке Spreadsheet::ParseExcel, используемой антивирусным сканером Amavis, работающим на устройствах Barracuda ESG.Злоумышленники могут использовать недостаток для выполнения произвольного кода на неисправленных устройствах ESG посредством внедрения параметров.
Компания также зарегистрировала CVE-2023-7101 для отдельного отслеживания ошибки в библиотеке с открытым исходным кодом, которая все еще ожидает исправления.
Barracuda заявила , что в настоящее время от клиентов компании не требуется никаких действий, и расследование эксплуатации ошибки продолжается.
Связь обнаруженной эксплуатации уязвимости с группой UNC4841 была обнаружена в ходе сотрудничества с ИБ-компанией Mandiant.
Организациям, использующим Spreadsheet::ParseExcel в своих продуктах или услугах, рекомендуется просмотреть CVE-2023-7101 и незамедлительно принять необходимые меры по исправлению ситуации.
Спойлер: мы раскрываем их любимые трюки