JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月5日、「Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起」において、米国連邦調査局(FBI: Federal Bureau of Investigation)がBarracuda Email Security Gatewayの脆弱性(CVE-2023-2868)を悪用した攻撃について、修正対応を済ませた組織も追加で侵害調査を行うよう、再度の注意喚起を公開したと報じた(参考:「Suspected PRC Cyber ActorsContinue to Globally Exploit Barracuda ESG Zero-Day Vulnerability (CVE-2023-2868) | 米国インターネット犯罪苦情センタ」)。

Barracuda Email Security Gateway(ESG)の脆弱性(CVE-2023-2868)を悪用する継続的な攻撃活動に関する注意喚起

同脆弱性の悪用事案を調査しているMandiantは8月29日(米国時間)に追加のレポートを公表し、5月以降にBarracuda Networksから通知を受けたユーザーの一部が継続して攻撃を受けている可能性があると指摘している。また、Barracuda NetworksおよびMandiantから公表されている情報によると、修正対応を済ませた組織の一部において、修正後も新たなバックドアが設置されたり、ネットワーク上を横展開されたりといった攻撃が継続して確認されているという。

対象の脆弱性の影響を受ける製品およびバージョンは次のとおり。

Barracuda Email Security Gateway(ESG)アプライアンス - バージョン5.1.3.001から9.2.0.006まで

参考として、脆弱性に関するMandiantおよびBarracuda Networksの公開情報へのリンクを次に示す。

Barracuda ESGのゼロデイ修復(CVE-2023-2868)後のUNC4841の活動についてのさらなる考察 | Mandiant

Barracuda Email Security Gateway Appliance (ESG) Vulnerability | Barracuda Networks

JPCERTコーディネーションセンターはMandiantなどが提供する最新の情報の確認と、同製品のアップデートおよび侵害調査の実施を検討するよう推奨している。また、Barracuda NetworksやMandiantなどからこれまでに公開されている対策に加えて、以下の対策も推奨している。

同製品から発生する外部への通信の調査 - 同脆弱性による侵害後の活動で観測された不正な通信先のIPアドレスやドメインの情報が複数公表されている。同製品から外部への通信を経路上のファイアウォールの通信ログなどから調査し、これら不正な通信がないか確認する

同製品が稼働するネットワーク内の調査 - 同製品からネットワーク内のシステムに向けたポートの探索や、スキャンなどが行われるケースが確認されている。同製品が稼働するネットワーク内のシステムにおいて、同製品からの不審な通信が送られていないか、アクセスログなどから確認する

同製品内に保存されていた情報の調査および対処の検討 - 同製品内に保存されていたメッセージデータの内容からユーザアカウントなどの認証情報が窃取され、組織のOutlook Web Access(OWA)やVPN、プロキシサーバ、Windowsサーバなどへの認証の試みが確認されている。既に侵害を受けている、あるいは侵害が疑われる場合は、同製品内に保存されていた資格情報などを点検し、アカウントのパスワードの変更を検討する

なお、JPCERT/CCは、運用保守ベンダーなどから機器交換などの対策を行った組織において、今回の注意喚起による追加の侵害調査について技術的な不安などがある場合は、JPCERT/CCまたは専門機関などに相談することを推奨している。