澳大利亚首都地区政府因安全漏洞更换电子邮件网关设备
关键要点
澳大利亚首都地区政府成为 Barracuda Networks 的电子邮件安全网关用户中的约 5,他们被要求更换受影响的设备。Barracuda Networks 在 5 月 19 日披露了一个关键漏洞,并在次日进行了并补丁更新。政府通过重构 Barracuda 系统来应对这一漏洞,但调查发现可能已被恶意黑客利用。初步消息表明,用户个人数据可能已被盗取。Barracuda 建议用户更换受影响的设备,并警告恶意软件仍在活跃。澳大利亚首都地区政府ACT日前宣布,他们的电子邮件安全网关系统受到了零日漏洞的影响,迫使他们与 Barracuda Networks 合作,及时更换受影响的设备。Barracuda Networks 在 5 月 19 日首次披露了该关键漏洞 (CVE20232868),并在随后的第二天针对受影响的 ESG 设备进行了补丁修复。然而,上周他们警告说,受影响的用户必须 立即更换 设备。
ACT 政府在一份声明中表示,经过对系统的检测,他们已经重构了 Barracuda 系统,并确认该漏洞已被恶意黑客利用。他们表示:“调查已确认发生了数据泄露,现在正在进行损害评估,以充分理解具体对我们的系统的影响以及潜在访问的数据。”
在后续的媒体简报中,ACT 政府数字与数据特别国务部长 Chris Steel 表示,数据被盗的“可能性很大”,但“目前,我们并不知道有关 ACT 政府系统的任何信息已在暗网发布。”
ACT 政府管理着包括首都堪培拉在内的澳大利亚联邦领地,人口接近 50 万。其 ESG 服务与多个部门相关,包括政府主要面向公民的交易门户,以及健康和教育服务。
个人数据可能已被盗
该漏洞的 CVSS 基础分数高达 94,存在于用于筛选电子邮件附件的设备模块中。Steel 说,在 ACT 政府的情况下,该漏洞可能影响了与政府系统相关的“某些自动化电子邮件”。这些电子邮件在市民填写网页表单时发送,包含了他们所提供的部分信息。
ACT 政府首席数字官 Bettina Konti 在媒体简报中表示,目前还不清楚恶意攻击者何时获得系统访问权限。受 Barracuda 委托调查该漏洞的网络安全公司 Mandiant 发现在早至 2022 年 10 月,该漏洞就已被利用。
她表示:“我们正在进行调查,这使我们认为可能涉及一些个人信息,但我们需要完成损害评估才能弄清楚。”她补充说:“如果回溯至去年 10 月,那将增加我们需要查看的数据量,以便了解可能被访问的内容,是否任何数据真的被获取。”
至今尚未将此利用漏洞的攻击归因于特定的威胁组织,Steel 也表示,ACT 政府并不知晓对此次攻击负责的团体。“威胁者并没有与我们或 Barracuda 联系。”
更换设备请求“令人震惊”
Barracuda 在一份电子邮件声明中称,截至 6 月 8 日,全球约有 5 的活跃 ESG 设备显示出已知的受损迹象。“尽管根据已知的受损指标IOCs部署了额外补丁,我们仍然看到受影响设备上持续的恶意软件活动。因此,我们希望客户将任何受损设备更换为新的未受影响设备。”
clash apkRapid7 的漏洞研究员 Caitlin Condon 在 博客文章 中表示,供应商提出如此请求令人意外。“从修补程序转向完全替换受影响设备让人震惊,这暗示攻击者部署的恶意软件在某种程度上达到了一种持久性,甚至擦除设备也无法消除攻击者的访问。”
她建议 Barracuda 设备的运营者应
