JPCERT-AT-2023-0017
JPCERT/CC
2023-09-05
同脆弱性を悪用する攻撃活動については、2023年5月以降、Barracuda NetworksおよびMandiantから複数の情報が公表されており、本脆弱性の影響を受けて侵害されている可能性のあるユーザー組織には通知が行われていることがすでに公表されていますが、一連の修正対応後も特定のユーザー組織では新たなバックドアが設置されたり、ネットワーク上で横展開したりするなど、攻撃者が永続性を確保しようとする継続的な攻撃活動が確認されているとのことです。
影響を受ける製品を利用しており、特に、5月以降に一連の通知を受け取っている組織においては、Barracuda Networksなどが提供する最新の情報や関連情報をご確認の上、速やかに追加の侵害調査などをご検討ください。
米連邦捜査局(FBI)
Suspected PRC Cyber Actors Continue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868)
https://www.ic3.gov/Media/News/2023/230823.pdf
Mandiant
Barracuda ESGのゼロデイ修復(CVE-2023-2868)後のUNC4841の活動についてのさらなる考察
https://www.mandiant.jp/resources/blog/unc4841-post-barracuda-zero-day-remediation
Barracuda Networks
Barracuda Email Security Gateway Appliance (ESG) Vulnerability
https://www.barracuda.com/company/legal/esg-vulnerability
Barracuda Email Security Gateway(ESG)アプライアンス
- バージョン 5.1.3.001から9.2.0.006まで
今回、FBIが公表した注意喚起においては、Barracuda ESGの新たな脆弱性やその悪用が見つかったものではありませんが、5月の修正プログラムを適用できていない場合、Barracuda Networks側からの通知を製品上で受信できず、また、下記のとおりの追加の侵害調査や対応を適切に行えない可能性がありますので、あらためて同製品のサポート状況や修正プログラムの適用有無をご確認ください。
(1) 同製品から発生する外部への通信の調査
- 同脆弱性を悪用した後の侵害活動で観測された、不正な通信先のIPアドレスやドメインの情報が複数公表されています。
- 同製品から外部システムへの通信を経路上のファイアウォールの通信ログなどをもとに調査し、これら不正な通信先へのログがないかご確認いただくことを推奨します。
(2) 同製品が稼働するネットワーク内の調査
- 同製品から他システムに向けたポートの探索や、スキャンなどが行われるケースが確認されています。
- 同製品が稼働するネットワーク内の他システムにて、同製品からの不審な通信が送られていないか、アクセスログなどからご確認いただくことを推奨します。
(3) 同製品内に保存されていた情報の調査および対処の検討
- 同製品内に保存されていたメッセージデータの内容からユーザーアカウントなどの認証情報が窃取され、組織のOutlook Web Access(OWA)や、VPN、プロキシサーバー、Windowsサーバーなどへ認証試行がなされたケースが確認されています。
- 既に侵害を受けている、あるいは侵害が疑われる場合は、同製品内に保存されていた資格情報などを点検し、アカウントのパスワードの変更をご検討ください。
Mandiantが公開した追加の分析レポートでは、攻撃グループUNC4841が本脆弱性を悪用した標的型攻撃キャンペーンを実行している点が触れられており、被害を受けた可能性のある米国内の組織は、FBIへの連絡が推奨されています。侵害有無についてすでにBarracuda Networksからの通知を受け、運用保守ベンダによる機器交換などを行った組織において、今回の一連の再度の注意喚起を受け、追加の侵害調査を行うにあたり技術的な点などで不安がある場合は、JPCERT/CCをはじめ、専門機関や専門企業などへ相談されることを推奨します。
Mandiant
Barracuda ESGのゼロデイ修復(CVE-2023-2868)後のUNC4841の活動についてのさらなる考察
https://www.mandiant.jp/resources/blog/unc4841-post-barracuda-zero-day-remediation
米連邦捜査局(FBI)
Suspected PRC Cyber Actors Continue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868)
https://www.ic3.gov/Media/News/2023/230823.pdf
CISA
CISA Releases IOCs Associated with Malicious Barracuda Activity
https://www.cisa.gov/news-events/alerts/2023/08/29/cisa-releases-iocs-associated-malicious-barracuda-activity
Barracuda
Barracuda Email Security Gateway Appliance (ESG) Vulnerability
https://www.barracuda.com/company/legal/esg-vulnerability
Mandiant
中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性(CVE-2023-2868)を悪用
https://www.mandiant.jp/resources/blog/barracuda-esg-exploited-globally
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2023-09-05
I. 概要
2023年8月23日(現地時間)、米連邦捜査局(FBI)はBarracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用した攻撃について、すでに修正対応などを済ませたユーザー組織においても追加で侵害調査を行うよう再度の注意喚起を公開しました。また同月29日、同脆弱性の悪用事案に関する調査を行っているMandiantは追加の分析レポートを公表し、5月以降に本脆弱性の影響を受けてBarracuda Networksから通知を受けたユーザー組織のうち、限定された数のユーザー組織がなおも攻撃を受けている可能性があることを示しました。同脆弱性を悪用する攻撃活動については、2023年5月以降、Barracuda NetworksおよびMandiantから複数の情報が公表されており、本脆弱性の影響を受けて侵害されている可能性のあるユーザー組織には通知が行われていることがすでに公表されていますが、一連の修正対応後も特定のユーザー組織では新たなバックドアが設置されたり、ネットワーク上で横展開したりするなど、攻撃者が永続性を確保しようとする継続的な攻撃活動が確認されているとのことです。
影響を受ける製品を利用しており、特に、5月以降に一連の通知を受け取っている組織においては、Barracuda Networksなどが提供する最新の情報や関連情報をご確認の上、速やかに追加の侵害調査などをご検討ください。
米連邦捜査局(FBI)
Suspected PRC Cyber Actors Continue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868)
https://www.ic3.gov/Media/News/2023/230823.pdf
Mandiant
Barracuda ESGのゼロデイ修復(CVE-2023-2868)後のUNC4841の活動についてのさらなる考察
https://www.mandiant.jp/resources/blog/unc4841-post-barracuda-zero-day-remediation
Barracuda Networks
Barracuda Email Security Gateway Appliance (ESG) Vulnerability
https://www.barracuda.com/company/legal/esg-vulnerability
II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。Barracuda Email Security Gateway(ESG)アプライアンス
- バージョン 5.1.3.001から9.2.0.006まで
今回、FBIが公表した注意喚起においては、Barracuda ESGの新たな脆弱性やその悪用が見つかったものではありませんが、5月の修正プログラムを適用できていない場合、Barracuda Networks側からの通知を製品上で受信できず、また、下記のとおりの追加の侵害調査や対応を適切に行えない可能性がありますので、あらためて同製品のサポート状況や修正プログラムの適用有無をご確認ください。
III. 対策
Mandiantなどが提供する最新の情報をご確認の上、脆弱性への対策適用や調査の実施をご検討ください。すでに2023年6月時点でBarracuda Networksなどから示された対策に加えて、以下の対応が推奨されます。(1) 同製品から発生する外部への通信の調査
- 同脆弱性を悪用した後の侵害活動で観測された、不正な通信先のIPアドレスやドメインの情報が複数公表されています。
- 同製品から外部システムへの通信を経路上のファイアウォールの通信ログなどをもとに調査し、これら不正な通信先へのログがないかご確認いただくことを推奨します。
(2) 同製品が稼働するネットワーク内の調査
- 同製品から他システムに向けたポートの探索や、スキャンなどが行われるケースが確認されています。
- 同製品が稼働するネットワーク内の他システムにて、同製品からの不審な通信が送られていないか、アクセスログなどからご確認いただくことを推奨します。
(3) 同製品内に保存されていた情報の調査および対処の検討
- 同製品内に保存されていたメッセージデータの内容からユーザーアカウントなどの認証情報が窃取され、組織のOutlook Web Access(OWA)や、VPN、プロキシサーバー、Windowsサーバーなどへ認証試行がなされたケースが確認されています。
- 既に侵害を受けている、あるいは侵害が疑われる場合は、同製品内に保存されていた資格情報などを点検し、アカウントのパスワードの変更をご検討ください。
Mandiantが公開した追加の分析レポートでは、攻撃グループUNC4841が本脆弱性を悪用した標的型攻撃キャンペーンを実行している点が触れられており、被害を受けた可能性のある米国内の組織は、FBIへの連絡が推奨されています。侵害有無についてすでにBarracuda Networksからの通知を受け、運用保守ベンダによる機器交換などを行った組織において、今回の一連の再度の注意喚起を受け、追加の侵害調査を行うにあたり技術的な点などで不安がある場合は、JPCERT/CCをはじめ、専門機関や専門企業などへ相談されることを推奨します。
IV. 関連情報
追加の侵害調査に関する情報が、複数の組織から公表されています。最新の情報をご確認の上、調査や対処を実施する上での参考情報としてご活用ください。Mandiant
Barracuda ESGのゼロデイ修復(CVE-2023-2868)後のUNC4841の活動についてのさらなる考察
https://www.mandiant.jp/resources/blog/unc4841-post-barracuda-zero-day-remediation
米連邦捜査局(FBI)
Suspected PRC Cyber Actors Continue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868)
https://www.ic3.gov/Media/News/2023/230823.pdf
CISA
CISA Releases IOCs Associated with Malicious Barracuda Activity
https://www.cisa.gov/news-events/alerts/2023/08/29/cisa-releases-iocs-associated-malicious-barracuda-activity
V. 参考情報
Barracuda
Barracuda Email Security Gateway Appliance (ESG) Vulnerability
https://www.barracuda.com/company/legal/esg-vulnerability
Mandiant
中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性(CVE-2023-2868)を悪用
https://www.mandiant.jp/resources/blog/barracuda-esg-exploited-globally
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp