Vulnérabilité : Barracuda demande à ses clients de remplacer l’un de ses équipements

Barracuda Networks a déclaré que les correctifs pour une vulnérabilité critique inédite – dite zero-day – dans sa passerelle de sécurité pour la messagerie électronique (Email Security Gateway, ESG) sont insuffisants et que les équipements doivent être entièrement remplacés. Mais le processus de remplacement reste flou.

L’avertissement du fournisseur intervient deux semaines après la divulgation initiale par Barracuda de la vulnérabilité d’injection de commande à distance référencée CVE-2023-2868. Une enquête de réponse à incident menée par Mandiant a révélé que des données avaient été exfiltrées et qu’un logiciel malveillant contenant une porte dérobée avait été installé sur certains équipements ESG. L’enquête a également révélé que la vulnérabilité inédite était exploitée depuis octobre 2022.

Barracuda a publié un premier correctif le 20 mai, puis un second le 21 mai. Le 6 juin, l’éditeur a publié un avis d’action enjoignant les clients concernés à remplacer leurs appareils « immédiatement ». Deux jours se sont écoulés depuis la mise à jour de l’avis, mais l’éditeur n’indique pas la procédure à suivre.

« Les appareils ESG concernés doivent être immédiatement remplacés, quel que soit le niveau de version du correctif. Si vous n’avez pas remplacé votre appareil après avoir reçu l’avis dans votre interface utilisateur, contactez l’assistance dès maintenant », a écrit Barracuda dans l’avis d’action. « La recommandation de remédiation de Barracuda à l’heure actuelle est le remplacement complet de l’ESG concerné ».

Le fournisseur n’a pas précisé comment les clients sont censés remplacer les produits ni où se situe la responsabilité financière. En outre, il n’a pas précisé les problèmes liés aux correctifs publiés ni expliqué pourquoi les équipements doivent être remplacés.

Selon le site web de Barracuda, sa garantie couvre les produits matériels pendant un an pour les « défauts de matériaux et de fabrication ». La garantie logicielle est applicable pendant 90 jours et stipule que le produit sera, au moment de la livraison, « exempt de ce qui est communément défini comme des virus, des vers, des logiciels espions, des logiciels malveillants et d’autres codes malveillants qui peuvent potentiellement entraver les performances ».