0day 漏洞通常不会导致网络安全供应商督促客户替换受影响的硬件，但这就是梭子鱼网络（Barracuda Networks）本周发生的事情。它的 Email Security Gateway（ESG） 发现了一个 0day——远程命令注入漏洞 CVE-2023-2868。而这个 0day 被活跃利用了 8 个月，被攻击者利用安装恶意程序窃取敏感数据。梭子鱼发现自己难以通过软件更新修复漏洞，它现在督促 ESG 客户移除和更换设备，而不只是打补丁。梭子鱼称，除了更换设备外客户还需要轮换连接设备的任何凭据，检查是否有入侵的迹象。ESG 从去年 10 月起就遭到利用。

https://krebsonsecurity.com/2023/06/barracuda-urges-replacing-not-patching-its-email-security-gateways/