JPCERTコーディネーションセンター(JPCERT/CC)は9月5日、Barracuda Networksのメールセキュリティアプライアンス製品「Barracuda Email Security Gateway」で報告されたリモートコマンドインジェクションの脆弱(ぜいじゃく)性(CVE-2023-2868)に対処したユーザーの一部においてサイバー攻撃活動が継続している恐れがあるとして、追加の侵害調査などを実施するよう呼びかけた。
この脆弱性は、Barracuda Email Security Gatewayのバージョン5.1.3.001から9.2.0.006までに存在し、メールに添付される「.tar」ファイル(テープアーカイブ)を適切に処理できない不具合に起因する。攻撃者がこの脆弱性を悪用した場合、Barracuda Email Security Gatewayの権限でリモートからシステムコマンドを実行できてしまう。Barracuda Networksは、米国時間5月20日にリリースした修正プログラム「BNSF-36456」で、脆弱性に対処した。
この脆弱性をめぐっては、Barracuda Networksが修正プログラムを公開する以前の少なくとも2022年10月頃から脆弱性を悪用するサイバー攻撃の発生が指摘された。攻撃については、2023年5月以降にBarracuda NetworksとMandiantが分析情報を公開した。Barracuda Networksによれば、攻撃による侵害を受けた製品の割合は当該製品全体の5%だったとし、侵害を受けたユーザーにアプライアンスの交換を呼びかけていた。
しかしながら、米連邦捜査局(FBI)が8月23日に、脆弱性に対処したユーザーの一部で引き続きサイバー攻撃を受けている恐れがあるとして、追加の調査を行うよう注意喚起した。Mandiantも同29日に追加のレポートを公開し、一部ユーザーが引き続きサイバー攻撃グループ「UNC4841」による侵害を受けている可能性を指摘した。
こうした経緯を踏まえJPCERT/CCは、現在までの対策方法に加えて以下の対応を行うことを製品のユーザー組織に推奨している。
当該製品から発生する外部への通信の調査
当該脆弱性を悪用した後の侵害活動で観測された不正な通信先のIPアドレスやドメインの情報が複数公表されており、これらを参考に当該製品から外部システムへの通信を経路上のファイアウォールの通信ログなどを調査し、これらの不正な通信先へのログがないか確認する。
当該製品が稼働するネットワーク内の調査
当該製品からほかのシステムに向けたポートの探索やスキャンなどが行われるケースが確認されている。当該製品が稼働するネットワーク内のほかのシステムにおいて、当該製品からの不審な通信が送信されていないかをアクセスログなどから確認する。
当該製品内に保存されていた情報の調査および対処の検討
当該製品内に保存されていたメッセージデータの内容から、ユーザーアカウントなどの認証情報が窃取され、組織の「Outlook Web Access」(OWA)やVPN、プロキシーサーバー、「Windows」サーバーなどへ認証が試行されたケースが確認されている。既に侵害を受けてたり、侵害が疑われたりする場合は、当該製品内に保存されていた資格情報などを点検し、アカウントのパスワードの変更を検討すること。
