#CVE-2023-7102
美國資安廠商Barracuda 透露,中國國家級駭客利用其電子郵件安全網關(ESG)設備中的零日漏洞在「有限數量」的設備上部署後門,ESG漏洞(編號為 CVE-2023-7102)是一個影響「Spreadsheet::ParseExcel」的任意程式碼執行漏,「Spreadsheet::ParseExcel」是 ESG 裝置用來檢查 Excel 電子郵件附件是否有惡意軟體的開源程式庫。攻擊者可以在特製的 Excel 檔案中植入惡意程式碼,並將其作為附件發送給目標組織。當 ESG 裝置掃描電子郵件時,惡意程式碼會在沒有任何使用者互動的情況下執行,使攻擊者能夠存取系統並竊取有價值的資料。
Barracuda將該活動歸因於Mandiant 追踪的中國APT駭客UNC4841,該組織此前曾積極利用Barracuda 設備中另一個零日漏洞(CVE-2023-2868,CVSS 評分:9.8 )。UNC4841於12 月20 日被發現利用零日漏洞CVE-2023-7102,但有證據表明該活動於11 月30 日左右開始。駭客利用 CVE-2023-7102 向 Barracuda 客戶提供 SeaSpy 和 SaltWater 惡意軟體的新變種。這些攻擊是 UNC4841 網路間諜活動的一部分,針對的是政府、IT 和高科技組織,主要位於美國以及亞太和日本 (APJ) 地區。
Barracuda迅速做出回應,部署更新來修復漏洞以及可能受到新發現的惡意軟體變體危害的 ESG 設備。Barracuda發布了一個安全更新,該更新已於 2023 年 12 月 21 日“自動應用”,客戶無需採取進一步行動。Barracuda還進一步指出,它一天後「部署了一個修補來修復受入侵的 ESG 設備,該設備顯示出與新識別的惡意軟體變體相關的入侵跡象」,然而它沒有透露入侵的規模。也就是說,Spreadsheet::ParseExcel Perl 模組(版本 0.65)中的原始漏洞仍未修補,並已被指派 CVE 識別碼CVE-2023-7101,需要下游使用者採取適當的補救措施。
據一直在調查該組織活動的 Mandiant 稱,自 2022 年 10 月以來,估計至少有 16 個國家的一些私營和公共部門組織受到了影響。Google Cloud 表示,不早於 2023 年 11 月 30 日,它觀察到針對高科技、資訊科技供應商和政府實體的 CVE-2023-7102 漏洞利用,這些實體主要位於美國和亞太地區。最新的發展再次證明了UNC4841 的適應性,利用新的策略和技術在現有漏洞被堵住的情況下保留對高優先目標的存取權。Mandiant 預計,UNC4841未來可能會將其目標攻擊面擴大到其他設備,並利用更多種類的漏洞。
Barracuda電子郵件安全閘道設備(ESG)漏洞的部分入侵指標(Indicator of compromise -IOCs):
SHA 256
803cb5a7de1fe0067a9eeb220dfc24ca 56f3f571a986180e146b6cf387855bdd
952c5f45d203d8f1a7532e5b59af8e330 6b5c1c53a30624b6733e0176d8d1acd
118fad9e1f03b8b1abe00529c61dc3edf da043b787c9084180d83535b4d177b7
IP
23.224.99.242
23.225.35.238
107.148.41.146