Barracuda Networks表示，针对其电子邮件安全网关设备中关键的零日漏洞的补丁修复不足够，企业必须完全更换设备。然而，他们没有明确具体更换过程。

在该供应商发出该警告的两周前，Barracuda最初披露远程命令注入漏洞CVE-2023-2868。Mandiant的一项事件响应调查显示，已经发生数据泄露，并且在某些电子邮件安全网关（ESG）设备上安装了包含后门的恶意软件。该调查还发现，该零日漏洞早在 2022 年 10 月就已被利用。

虽然Barracuda在5月20日发布了第一个补丁，在5月21日发布了第二个补丁，但该供应商在6月6日发布了行动通知，敦促受影响的客户“立即”更换他们的设备。自公告更新以来已经过去了两天，但供应商尚未提供任何指导。

Barracuda 在行动通知中写道：“无论补丁版本级别如何，都必须立即更换受影响的 ESG 设备。如果你在UI中收到通知后仍未更换设备，请立即联系支持人员。Barracuda目前的补救建议是完全更换受影响的ESG。”

该供应商没有说明客户应该如何更换产品或有谁承担费用。此外，它没有具体说明已发布补丁的问题，也没有解释为什么需要更换硬件产品。

Barracuda在发稿时没有回应置评请求。

根据该供应商的网站，Barracuda对所有产品的有限保修涵盖硬件产品一年的“材料和工艺缺陷”。软件保修有效期为 90 天，并声明产品将在交付时“不受通常定义为病毒、蠕虫、间谍软件、恶意软件和其他可能妨碍性能的恶意代码的影响”。

该漏洞的CVSS等级为9.8，影响Barracuda ESG版本5.1.3.001至9.2.0.006。利用此漏洞可允许远程攻击者格式化文件名并最终获得 ESG 产品权限。

目前尚不清楚有多少受影响的ESG产品正在使用中。Barracuda ESG的客户遍布全球，包括政府、金融、医疗保健和教育领域的企业。