美國聯(lián)邦調(diào)查局于近日警告稱，梭子魚電子郵件安全網(wǎng)關(guān)（ESG）的一個重要遠(yuǎn)程命令注入漏洞的補丁 "無效"，已打補丁的設(shè)備仍在不斷受到攻擊。

該漏洞被追蹤為CVE-2023-2868，于2022年10月首次被發(fā)現(xiàn)。不法分子通過該漏洞入侵了ESG設(shè)備并從被入侵系統(tǒng)中竊取數(shù)據(jù)。

攻擊者部署了以前未知的惡意軟件 SeaSpy 和 Saltwater 以及惡意工具 SeaSide，以建立遠(yuǎn)程訪問的反向外殼。

隨后CISA 分享了在相同攻擊中部署的 Submariner 和 Whirlpool 惡意軟件的更多細(xì)節(jié)。

5月27日，美國網(wǎng)絡(luò)安全機構(gòu)還將該漏洞添加到其在野外被積極利用的漏洞目錄中，并警告聯(lián)邦機構(gòu)檢查其網(wǎng)絡(luò)是否存在漏洞證據(jù)。

盡管梭子魚在5月20日，也就是發(fā)現(xiàn)漏洞的第二天，就對所有設(shè)備進行了遠(yuǎn)程修補，并阻止了攻擊者對被入侵設(shè)備的訪問。但可能由于它無法確保完全清除攻擊中部署的惡意軟件，所以其在6月7日向客戶發(fā)出了新的警告，稱必須立即更換所有受影響的設(shè)備，

聯(lián)邦調(diào)查局也警告梭子魚客戶更換設(shè)備

聯(lián)邦調(diào)查局現(xiàn)在加強了警告，告知梭子魚客戶應(yīng)立即隔離和更換被黑客攻擊的設(shè)備。由于補丁無效，所以客戶們即使給設(shè)備打好補丁也有被入侵的風(fēng)險。

聯(lián)邦執(zhí)法機構(gòu)在周三發(fā)布的緊急警報[PDF]中警告說：強烈建議客戶立即隔離和更換所有受影響的 ESG 設(shè)備，并立即掃描所有網(wǎng)絡(luò)與所提供的入侵指標(biāo)列表的連接。

聯(lián)邦調(diào)查局觀察此次的主動入侵行為后認(rèn)為梭子魚 ESG 設(shè)備極易容易受到該漏洞的攻擊。

另外，F(xiàn)BI已經(jīng)證實所有被利用的ESG設(shè)備，即使是那些由梭子魚推送補丁的設(shè)備，仍然存在被利用的風(fēng)險。

此外，該機構(gòu)還建議梭子魚客戶通過掃描與咨詢中共享的入侵指標(biāo)（IOC）列表中的 IP 的出站連接，調(diào)查其網(wǎng)絡(luò)是否存在潛在的其他入侵。

那些在梭子魚設(shè)備上使用企業(yè)特權(quán)憑據(jù)，如活動目錄域管理員等用戶也被敦促撤銷和輪換這些憑據(jù)，以確保網(wǎng)絡(luò)安全。

梭子魚表示，其安全產(chǎn)品已被全球20多萬家企業(yè)使用，其中包括三星、達美航空、三菱和卡夫亨氏等知名企業(yè)。