-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2023-0017
                                                             JPCERT/CC
                                                            2023-09-05

                  <<< JPCERT/CC Alert 2023-09-05 >>>

Barracuda Email Security Gateway（ESG）の脆弱性（CVE-2023-2868）を悪用する継続的な攻撃活動に関する注意喚起

            https://www.jpcert.or.jp/at/2023/at230017.html


I. 概要
2023年8月23日（現地時間）、米連邦捜査局（FBI）はBarracuda Email Security
Gateway（ESG）の脆弱性（CVE-2023-2868）を悪用した攻撃について、すでに
修正対応などを済ませたユーザー組織においても追加で侵害調査を行うよう再
度の注意喚起を公開しました。また同月29日、同脆弱性の悪用事案に関する
調査を行っているMandiantは追加の分析レポートを公表し、5月以降に本脆弱
性の影響を受けてBarracuda Networksから通知を受けたユーザー組織のうち、
限定された数のユーザー組織がなおも攻撃を受けている可能性があることを示
しました。

同脆弱性を悪用する攻撃活動については、2023年5月以降、Barracuda Networks
およびMandiantから複数の情報が公表されており、本脆弱性の影響を受けて侵
害されている可能性のあるユーザー組織には通知が行われていることがすでに
公表されていますが、一連の修正対応後も特定のユーザー組織では新たなバッ
クドアが設置されたり、ネットワーク上で横展開したりするなど、攻撃者が永
続性を確保しようとする継続的な攻撃活動が確認されているとのことです。

影響を受ける製品を利用しており、特に、5月以降に一連の通知を受け取って
いる組織においては、Barracuda Networksなどが提供する最新の情報や関連情
報をご確認の上、速やかに追加の侵害調査などをご検討ください。

    米連邦捜査局（FBI）
    Suspected PRC Cyber Actors Continue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868)
    https://www.ic3.gov/Media/News/2023/230823.pdf

    Mandiant
    Barracuda ESGのゼロデイ修復（CVE-2023-2868）後のUNC4841の活動についてのさらなる考察
    https://www.mandiant.jp/resources/blog/unc4841-post-barracuda-zero-day-remediation

    Barracuda Networks
    Barracuda Email Security Gateway Appliance (ESG) Vulnerability
    https://www.barracuda.com/company/legal/esg-vulnerability


II. 対象
本脆弱性の対象となる製品およびバージョンは次のとおりです。

  Barracuda Email Security Gateway（ESG）アプライアンス
    - バージョン 5.1.3.001から9.2.0.006まで

今回、FBIが公表した注意喚起においては、Barracuda ESGの新たな脆弱性やそ
の悪用が見つかったものではありませんが、5月の修正プログラムを適用できて
いない場合、Barracuda Networks側からの通知を製品上で受信できず、また、
下記のとおりの追加の侵害調査や対応を適切に行えない可能性がありますので、
あらためて同製品のサポート状況や修正プログラムの適用有無をご確認くださ
い。

III. 対策
Mandiantなどが提供する最新の情報をご確認の上、脆弱性への対策適用や調査
の実施をご検討ください。すでに2023年6月時点でBarracuda Networksなどか
ら示された対策に加えて、以下の対応が推奨されます。

  (1) 同製品から発生する外部への通信の調査
  - 同脆弱性を悪用した後の侵害活動で観測された、不正な通信先のIPアドレスやドメインの情報が複数公表されています。
  - 同製品から外部システムへの通信を経路上のファイアウォールの通信ログなどをもとに調査し、これら不正な通信先へのログがないかご確認いただくことを推奨します。

  (2) 同製品が稼働するネットワーク内の調査
  - 同製品から他システムに向けたポートの探索や、スキャンなどが行われるケースが確認されています。
  - 同製品が稼働するネットワーク内の他システムにて、同製品からの不審な通信が送られていないか、アクセスログなどからご確認いただくことを推奨します。

  (3) 同製品内に保存されていた情報の調査および対処の検討
  - 同製品内に保存されていたメッセージデータの内容からユーザーアカウントなどの認証情報が窃取され、組織のOutlook Web Access（OWA）や、VPN、プロキシサーバー、Windowsサーバーなどへ認証試行がなされたケースが確認されています。
  - 既に侵害を受けている、あるいは侵害が疑われる場合は、同製品内に保存されていた資格情報などを点検し、アカウントのパスワードの変更をご検討ください。

Mandiantが公開した追加の分析レポートでは、攻撃グループUNC4841が本脆弱性
を悪用した標的型攻撃キャンペーンを実行している点が触れられており、被害
を受けた可能性のある米国内の組織は、FBIへの連絡が推奨されています。
侵害有無についてすでにBarracuda Networksからの通知を受け、運用保守ベン
ダによる機器交換などを行った組織において、今回の一連の再度の注意喚起を
受け、追加の侵害調査を行うにあたり技術的な点などで不安がある場合は、
JPCERT/CCをはじめ、専門機関や専門企業などへ相談されることを推奨します。


IV. 関連情報
追加の侵害調査に関する情報が、複数の組織から公表されています。最新の情
報をご確認の上、調査や対処を実施する上での参考情報としてご活用ください。

    Mandiant
    Barracuda ESGのゼロデイ修復（CVE-2023-2868）後のUNC4841の活動についてのさらなる考察
    https://www.mandiant.jp/resources/blog/unc4841-post-barracuda-zero-day-remediation

    米連邦捜査局（FBI）
    Suspected PRC Cyber Actors Continue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868)
    https://www.ic3.gov/Media/News/2023/230823.pdf

    CISA
    CISA Releases IOCs Associated with Malicious Barracuda Activity
    https://www.cisa.gov/news-events/alerts/2023/08/29/cisa-releases-iocs-associated-malicious-barracuda-activity


V. 参考情報
    Barracuda
    Barracuda Email Security Gateway Appliance (ESG) Vulnerability
    https://www.barracuda.com/company/legal/esg-vulnerability

    Mandiant
    中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性（CVE-2023-2868）を悪用
    https://www.mandiant.jp/resources/blog/barracuda-esg-exploited-globally


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp

-----BEGIN PGP SIGNATURE-----
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=udKL
-----END PGP SIGNATURE-----