Barracuda ESG(Email Security Gateway)はスパムやウイルスからメールを防御するバラクーダネットワークス社(米カリフォルニア州)が提供しているセキュリティ製品です。しかし、脆弱性により侵害を受けていることが明らかになり世界の政府機関等に影響が出ているようです。
リモートコマンドインジェクションの脆弱性
米CISAによると、CVE-2023-2868はBarracuda ESGアプライアンス、バージョン5.1.3.001~9.2.0.006に影響を与えるリモートコマンドインジェクションの脆弱性です。2022年10月にゼロディ脆弱性として攻撃者により悪用されており、被害システムに初期アクセスを確立してバックドアを埋め込んでいたということです。
CISAは侵害された組織から入手したバックドアマルウェアの亜種を分析したとして感染の実態について明らかにしています。それによると、攻撃者は悪意のある添付ファイルを含むフィッシングメールを介してBarracudaエクスプロイトペイロードを被害システムに配布、配布されたペイロードがCVE-2023-2868を悪用してESG上でリバースシェルバックドアを投下して実行、リバースシェルはC2サーバーと通信を確立してSEASPYバックドアをダウンロードするということです。SEASPYはトラフィックを監視する受動的なバックドアで、C2サーバーへの伝送制御プロトコル(TCP)リバースシェルを確立し、このシェルを使用して攻撃者はESG上で任意のコマンドが実行できるようです。また、SUBMARINEというバックドアも確認されているということです。
16カ国の官民組織攻撃、3分の1は政府機関
アメリカのサイバーセキュリティ企業、マンディアントによると、この攻撃者は早ければ2022年10月10日から、CVE-2023-2868を悪用して脆弱なBarracuda ESGの初期アクセスを取得するように設計された悪意のあるファイルが添付されたメールを被害組織に送信、3つの主要なコード(SALTWATER、SEASPY、SEASIDE)がほとんどの侵入活動で確認されているということです。
マンディアントはこの攻撃者をUNC4841として追跡しており、2023年5月22日から同24日にかけて少なくとも16カ国で複数の組織を標的に攻撃を実施したということです。マンディアントによるとこのキャンペーンは世界中の官民組織に影響を及ぼしているものの約3分の1は政府機関への攻撃だということです。マンディアントはこの攻撃者について中国との関連が疑われ、攻撃は中国を支援するキャンペーンだということです。ちなみにUNCとはuncategorizedの略で、高度で持続的な攻撃者であるAPTや金銭を目的とした攻撃者であるFINに現状では属さない、カテゴライズされていない攻撃者という意味です。
国内でも?‥ NISCと気象庁が「メールデータ流出」を発表
日本では内閣サイバーセキュリティセンター(NISC)が「電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性かあることが判明した」と8月4日に発表、また、同日、気象庁も「気象庁及び気象研究所のメール関連機器に対する不正通信により、気象庁が受信したメールデータの一部が外部に流出した可能性があります」などとしたプレスリリースを発表、NISC、気象庁ともにメールシステムにかかる機器の脆弱性が原因とし、海外において同様の事案が確認されているとしていることから、Barracuda ESGの脆弱性CVE-2023-2868によるサイバー攻撃との見方がなされています。
ただし、外部に漏えいした可能性のあるメールデータについてNISCは令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含むデータの一部としているのに対し、気象庁は令和4年6月下旬から令和5年5月下旬までに気象庁に送信されたメールデータの一部としており、期間に若干のズレがみられます。両機関ともに具体的なメールシステムや機器、脆弱性の中身などの詳細は明らかにしておらず、Barracuda ESGの脆弱性CVE-2023-2868によるサイバー攻撃なのかどうか特定していない状況です。
■出典
https://www.mandiant.jp/resources/blog/barracuda-esg-exploited-globally
https://www.nisc.go.jp/news/20230804.html
https://www.jma.go.jp/jma/press/2308/04a/press_security_20230804.html