梭子鱼网络督促客户替换设备而不是打补丁 2023-06-09 17:57:00 by 神秘博士:侧影 0day 漏洞通常不会导致网络安全供应商督促客户替换受影响的硬件,但这就是梭子鱼网络(Barracuda Networks)本周发生的事情。它的 Email Security Gateway(ESG) 发现了一个 0day——远超命令注入漏洞 CVE-2023-2868。而这个 0day 被活跃利用了 8 个月,被攻击者利用安装恶意程序窃取敏感数据。梭子鱼发现自己难以通过软件更新修复漏洞,它现在督促 ESG 客户移除和更换设备,而不只是打补丁。梭子鱼称,除了更换设备外客户还需要轮换连接设备的任何凭据,检查是否有入侵的迹象。ESG 从去年 10 月起就遭到利用。 https://krebsonsecurity.com/2023/06/barracuda-urges-replacing-not-patching-its-email-security-gateways/ #安全 3.3K views12:30
