Barracuda estime que 5% de ses appareils Email Security Gateway (ESG) en activité ont été compromis par des attaquant·e·s. En parallèle, l’éditeur suggère de remplacer immédiatement les boitiers des client·e·s concerné·e·s. Les ESG sont habituellement utilisés pour filtrer les mails.
« Malgré le déploiement de correctifs supplémentaires, nous observons encore une activité continue de logiciels malveillants sur un sous-ensemble d’appareils compromis », déclare la société dans un communiqué. « Environ 5% des appareils ESG actifs dans le monde ont montré des indicateurs connus de compromission en raison de la vulnérabilité (…) Par conséquent, nous aimerions que les clients remplacent tout appareil compromis par un nouvel appareil non affecté ».
« Si un appareil ESG affiche une notification dans l’interface utilisateur, c’est qu’il présente des indicateurs de compromission », précise Barracuda. « Si aucune notification ne s’affiche, nous n’avons aucune raison de croire que l’appareil a été compromis à ce stade ».
La vulnérabilité en question a été découverte le 19 mai dernier. L’entreprise a déployé un correctif le jour suivant. Un second correctif a été déployé le 21 mai pour mettre à jour tous les appareils Email Security Gateway. La société de Campbell en Californie a révélé la faille le 24 mai. Une enquête approfondie – avec l’aide de la société de réponse aux incidents Mandiant – a permis de découvrir que la vulnérabilité avait été exploitée dès octobre 2022. Mandiant a déterminé que les attaquant·e·s avaient déployé deux types de logiciels malveillants – Saltwater et SeaSpy – afin de créer une porte dérobée dans les appareils ESG. Les pirates ont également utilisé un outil baptisé SeaSide pour émettre des commandes à distance sur les systèmes.