美國聯邦調查局于近日警告稱,梭子魚電子郵件安全網關(ESG)的一個重要遠程命令注入漏洞的補丁 "無效",已打補丁的設備仍在不斷受到攻擊。

該漏洞被追蹤為CVE-2023-2868,于2022年10月首次被發現。不法分子通過該漏洞入侵了ESG設備并從被入侵系統中竊取數據。

攻擊者部署了以前未知的惡意軟件 SeaSpy 和 Saltwater 以及惡意工具 SeaSide,以建立遠程訪問的反向外殼。

隨后CISA 分享了在相同攻擊中部署的 Submariner 和 Whirlpool 惡意軟件的更多細節。

5月27日,美國網絡安全機構還將該漏洞添加到其在野外被積極利用的漏洞目錄中,并警告聯邦機構檢查其網絡是否存在漏洞證據。

盡管梭子魚在5月20日,也就是發現漏洞的第二天,就對所有設備進行了遠程修補,并阻止了攻擊者對被入侵設備的訪問。但可能由于它無法確保完全清除攻擊中部署的惡意軟件,所以其在6月7日向客戶發出了新的警告,稱必須立即更換所有受影響的設備。

聯邦調查局也警告梭子魚客戶更換設備

聯邦調查局現在加強了警告,告知梭子魚客戶應立即隔離和更換被黑客攻擊的設備。由于補丁無效,所以客戶們即使給設備打好補丁也有被入侵的風險。

聯邦執法機構在周三發布的緊急警報[PDF]中警告說:強烈建議客戶立即隔離和更換所有受影響的 ESG 設備,并立即掃描所有網絡與所提供的入侵指標列表的連接。

聯邦調查局觀察此次的主動入侵行為后認為梭子魚 ESG 設備極易容易受到該漏洞的攻擊。

另外,FBI已經證實所有被利用的ESG設備,即使是那些由梭子魚推送補丁的設備,仍然存在被利用的風險。

此外,該機構還建議梭子魚客戶通過掃描與咨詢中共享的入侵指標(IOC)列表中的 IP 的出站連接,調查其網絡是否存在潛在的其他入侵。

那些在梭子魚設備上使用企業特權憑據,如活動目錄域管理員等用戶也被敦促撤銷和輪換這些憑據,以確保網絡安全。

梭子魚表示,其安全產品已被全球20多萬家企業使用,其中包括三星、達美航空、三菱和卡夫亨氏等知名企業。

安全網關 黑客 信息安全 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接