Χιλιάδες συσκευές Barracuda ESG πρέπει να αντικατασταθούν λόγω ευπάθειας 0 ημερών 

David Y. Naranjo

4 λεπτά

Ημέρα μηδέν

Η Barracuda άρχισε ξαφνικά να προτρέπει τους πελάτες της ESG να αντικαταστήσουν αμέσως συσκευές

Πρόσφατα Barracuda Networks (μια εταιρεία που παρέχει προϊόντα ασφάλειας, δικτύωσης και αποθήκευσης που βασίζονται σε συσκευές δικτύου και υπηρεσίες cloud) το αποκάλυψε δεν μπόρεσε να λύσει μια αποτυχία καιn συσκευές ESG τους, για τις οποίες ζητά από τους πελάτες να αντικαταστήσουν συσκευές, ακόμα κι αν το υλικό έχει επιδιορθωθεί.

Ανακοίνωσε την ανάγκη φυσικής αντικατάστασης συσκευών ESG καιs επειδή επηρεάζονται από κακόβουλο λογισμικό ως αποτέλεσμα μιας ευπάθειας 0 ημερών στη μονάδα επεξεργασίας συνημμένων email.

Οι ενημερώσεις κώδικα που κυκλοφόρησαν στο παρελθόν δεν είναι αρκετές για να αποκλείσετε το πρόβλημα εγκατάστασης και δεν έχουν αποκαλυφθεί λεπτομέρειες σχετικά με αυτό, αλλά η απόφαση για την αντικατάσταση του υλικού προφανώς οφείλεται σε επίθεση εγκατεστημένο κακόβουλο λογισμικό σε χαμηλό επίπεδο και δεν μπορούσε να αφαιρεθεί με αναβοσβήνει ή επαναφορά εργοστασιακών ρυθμίσεων.

Η προειδοποίηση του πωλητή έρχεται δύο εβδομάδες αφότου ο Barracuda αποκάλυψε αρχικά την ευπάθεια της ένεσης απομακρυσμένης εντολής. παρακολουθείται ως CVE-2023-2868. Μια έρευνα απόκρισης περιστατικού με τη Mandiant αποκάλυψε ότι είχε γίνει διήθηση δεδομένων και είχε εγκατασταθεί κακόβουλο λογισμικό που περιείχε μια κερκόπορτα σε ορισμένες συσκευές πύλης ασφαλείας ηλεκτρονικού ταχυδρομείου (ESG). Η έρευνα διαπίστωσε επίσης ότι η ευπάθεια 0 ημερών είχε γίνει αντικείμενο εκμετάλλευσης από τον Οκτώβριο του 2022.

Για όσους από εσάς δεν γνωρίζετε τις συσκευές ESG, θα πρέπει να γνωρίζετε ότι πρόκειται για μια δέσμη υλικού και λογισμικού για την προστασία των εταιρικών email από επιθέσεις, ανεπιθύμητα μηνύματα και ιούς.

Σχετικά με το πρόβλημα αναφέρεται ότι η ανάλυση έδειξε ότι οι συσκευές είχαν παραβιαστεί μέσω μιας μη επιδιορθωμένης ευπάθειας (CVE-2023-28681), η οποία επιτρέπει ακόμη και σε έναν εισβολέα να εκτελέσει τον κώδικά σας στέλνοντας ένα ειδικά διαμορφωμένο email.

Το πρόβλημα προκλήθηκε από την έλλειψη σωστής επικύρωσης των ονομάτων αρχείων μέσα σε tarball που αποστέλλονται σε συνημμένα email και επέτρεψε την εκτέλεση μιας αυθαίρετης εντολής σε ένα υψηλό σύστημα, αποτρέποντας τη διαφυγή κατά την εκτέλεση του κώδικα a μέσω του τελεστή Perl "qx" .

Τρωτό υπάρχει σε συσκευές ESG που παρέχονται χωριστά με εκδόσεις υλικολογισμικού από 5.1.3.001 έως 9.2.0.006 συμπεριλαμβανομένων. Η εκμετάλλευση της ευπάθειας παρακολουθείται από τον Οκτώβριο του 2022 και μέχρι τον Μάιο του 2023 το ζήτημα δεν αναγνωρίστηκε. Οι εισβολείς χρησιμοποίησαν την ευπάθεια για να εγκαταστήσουν διάφορους τύπους κακόβουλου λογισμικού στις πύλες: SALTWATER, SEASPY και SEASIDE, τα οποία παρέχουν εξωτερική πρόσβαση στη συσκευή και χρησιμοποιούνται για την υποκλοπή ευαίσθητων δεδομένων.

  1. Η κερκόπορτα SALTWATER σχεδιάστηκε ως λειτουργική μονάδα mod_udp.so για τη διαδικασία BSmtpd SMTP και επέτρεψε τη μεταφόρτωση και εκτέλεση αυθαίρετων αρχείων στο σύστημα, καθώς και την αποστολή αιτημάτων διακομιστή μεσολάβησης και κυκλοφορίας διοχέτευσης σε έναν εξωτερικό διακομιστή. Για να αποκτήσουμε τον έλεγχο στην πίσω πόρτα, χρησιμοποιήσαμε την υποκλοπή των κλήσεων αποστολής, αναγραφής και κλεισίματος συστήματος.
  2. Το κακόβουλο στοιχείο SEASIDE γράφτηκε στο Lua, εγκαταστάθηκε ως λειτουργική μονάδα mod_require_helo.lua για τον διακομιστή SMTP και ήταν υπεύθυνο για την παρακολούθηση εισερχόμενων εντολών HELO/EHLO, τον εντοπισμό αιτημάτων διακομιστή C&C και τον καθορισμό παραμέτρων για την εκκίνηση του αντίστροφου κελύφους.
  3. Το SEASPY ήταν ένα εκτελέσιμο πρόγραμμα BarracudaMailService που εγκαταστάθηκε ως υπηρεσία συστήματος. Η υπηρεσία χρησιμοποίησε ένα φίλτρο που βασίζεται σε PCAP για την παρακολούθηση της κυκλοφορίας στις θύρες δικτύου 25 (SMTP) και 587 και ενεργοποίησε μια κερκόπορτα όταν εντοπίστηκε ένα πακέτο με μια ειδική ακολουθία.

Τέλος, Το Barracuda ενθαρρύνει τους χρήστες να αντικαταστήσουν τα κλειδιά πρόσβασης και τα διαπιστευτήρια που έχουν διασταυρωθεί με το Barracuda ESG, όπως αυτά που σχετίζονται με το LDAP/AD και το Barracuda Cloud Control. Σύμφωνα με προκαταρκτικά στοιχεία, υπάρχουν περίπου 11 συσκευές ESG στο δίκτυο που χρησιμοποιούν την υπηρεσία Barracuda Networks Spam Firewall smtpd, η οποία χρησιμοποιείται στην πύλη ασφαλείας Email.

Σχετικά με την αντικατάσταση των συσκευών, η ομάδα αναφέρει ότι sκαι θα εκτελέσει δωρεάν, αλλά δεν προσδιορίζεται αποζημίωση για το κόστος παράδοσης και αντικατάστασης. Εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά με αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.