美國(guó)聯(lián)邦調(diào)查局于近日警告稱，梭子魚電子郵件安全網(wǎng)關(guān)（ESG）的一個(gè)重要遠(yuǎn)程命令注入漏洞的補(bǔ)丁 "無(wú)效"，已打補(bǔ)丁的設(shè)備仍在不斷受到攻擊。

該漏洞被追蹤為CVE-2023-2868，于2022年10月首次被發(fā)現(xiàn)。不法分子通過(guò)該漏洞入侵了ESG設(shè)備并從被入侵系統(tǒng)中竊取數(shù)據(jù)。

攻擊者部署了以前未知的惡意軟件 SeaSpy 和 Saltwater 以及惡意工具 SeaSide，以建立遠(yuǎn)程訪問(wèn)的反向外殼。

隨后CISA 分享了在相同攻擊中部署的 Submariner 和 Whirlpool 惡意軟件的更多細(xì)節(jié)。

5月27日，美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)還將該漏洞添加到其在野外被積極利用的漏洞目錄中，并警告聯(lián)邦機(jī)構(gòu)檢查其網(wǎng)絡(luò)是否存在漏洞證據(jù)。

盡管梭子魚在5月20日，也就是發(fā)現(xiàn)漏洞的第二天，就對(duì)所有設(shè)備進(jìn)行了遠(yuǎn)程修補(bǔ)，并阻止了攻擊者對(duì)被入侵設(shè)備的訪問(wèn)。但可能由于它無(wú)法確保完全清除攻擊中部署的惡意軟件，所以其在6月7日向客戶發(fā)出了新的警告，稱必須立即更換所有受影響的設(shè)備，

聯(lián)邦調(diào)查局也警告梭子魚客戶更換設(shè)備

聯(lián)邦調(diào)查局現(xiàn)在加強(qiáng)了警告，告知梭子魚客戶應(yīng)立即隔離和更換被黑客攻擊的設(shè)備。由于補(bǔ)丁無(wú)效，所以客戶們即使給設(shè)備打好補(bǔ)丁也有被入侵的風(fēng)險(xiǎn)。

聯(lián)邦執(zhí)法機(jī)構(gòu)在周三發(fā)布的緊急警報(bào)[PDF]中警告說(shuō)：強(qiáng)烈建議客戶立即隔離和更換所有受影響的 ESG 設(shè)備，并立即掃描所有網(wǎng)絡(luò)與所提供的入侵指標(biāo)列表的連接。

聯(lián)邦調(diào)查局觀察此次的主動(dòng)入侵行為后認(rèn)為梭子魚 ESG 設(shè)備極易容易受到該漏洞的攻擊。

另外，F(xiàn)BI已經(jīng)證實(shí)所有被利用的ESG設(shè)備，即使是那些由梭子魚推送補(bǔ)丁的設(shè)備，仍然存在被利用的風(fēng)險(xiǎn)。

此外，該機(jī)構(gòu)還建議梭子魚客戶通過(guò)掃描與咨詢中共享的入侵指標(biāo)（IOC）列表中的 IP 的出站連接，調(diào)查其網(wǎng)絡(luò)是否存在潛在的其他入侵。

那些在梭子魚設(shè)備上使用企業(yè)特權(quán)憑據(jù)，如活動(dòng)目錄域管理員等用戶也被敦促撤銷和輪換這些憑據(jù)，以確保網(wǎng)絡(luò)安全。

梭子魚表示，其安全產(chǎn)品已被全球20多萬(wàn)家企業(yè)使用，其中包括三星、達(dá)美航空、三菱和卡夫亨氏等知名企業(yè)。