A Barracuda repentinamente começou a pedir a seus clientes ESG que substituíssem imediatamente os dispositivos
Faz pouco Redes Barracuda (uma empresa que fornece produtos de segurança, rede e armazenamento baseados em dispositivos de rede e serviços em nuvem) divulgou que foi incapaz de resolver uma falha en seus dispositivos ESG, para os quais pede aos clientes que substituam os dispositivos, mesmo que o hardware tenha sido corrigido.
Ele anunciou a necessidade de substituir fisicamente os dispositivos ESG es porque são afetados por malware como resultado de uma vulnerabilidade de 0 dia no módulo de processamento de anexos de e-mail.
Os patches lançados anteriormente não são suficientes para bloquear o problema de instalação e detalhes sobre isso não foram divulgados, mas a decisão de substituir o hardware é presumivelmente devido a um ataque de malware instalado em um nível baixo e não pôde ser removido por flash ou redefinição de fábrica.
O aviso do fornecedor ocorre duas semanas depois que o Barracuda divulgou inicialmente a vulnerabilidade de injeção de comando remoto. rastreado como CVE-2023-2868. Uma investigação de resposta a incidentes com a Mandiant revelou que ocorreu exfiltração de dados e que um malware contendo um backdoor foi instalado em alguns dispositivos de gateway de segurança de e-mail (ESG). A investigação também descobriu que a vulnerabilidade de 0 dia foi explorada desde outubro de 2022.
Para quem não conhece os appliances ESG, saiba que é um pacote de hardware e software para proteger o email comercial contra ataques, spam e vírus.
Sobre o problema, informa-se que a análise mostrou que os dispositivos foram comprometidos através de uma vulnerabilidade não corrigida (CVE-2023-28681), que permite que até mesmo um invasor execute seu código enviando um e-mail especialmente criado.
O problema era devido à falta de validação adequada de nomes de arquivo em tarballs enviados em anexos de e-mail e permitia que um comando arbitrário fosse executado em um sistema alto, impedindo a fuga ao executar o código a por meio do operador Perl "qx" .
Vulnerabilidade está presente em dispositivos ESG fornecidos separadamente com versões de firmware de 5.1.3.001 a 9.2.0.006 inclusive. A exploração da vulnerabilidade foi rastreada desde outubro de 2022 e até maio de 2023 o problema não foi reconhecido. Os invasores usaram a vulnerabilidade para instalar vários tipos de malware nos gateways: SALTWATER, SEASPY e SEASIDE, que fornecem acesso externo ao dispositivo e são usados para interceptar dados confidenciais.
- O backdoor SALTWATER foi projetado como um módulo mod_udp.so para o processo SMTP bsmtpd e permitia que arquivos arbitrários fossem carregados e executados no sistema, além de enviar solicitações de proxy e canalizar o tráfego para um servidor externo. Para obter controle no backdoor, usamos a interceptação das chamadas de sistema send, recv e close.
- O componente malicioso SEASIDE foi escrito em Lua, instalado como um módulo mod_require_helo.lua para o servidor SMTP e era responsável por monitorar comandos HELO/EHLO recebidos, detectar solicitações do servidor C&C e determinar parâmetros para iniciar o shell reverso.
- SEASPY era um executável BarracudaMailService instalado como um serviço do sistema. O serviço usou um filtro baseado em PCAP para monitorar o tráfego nas portas de rede 25 (SMTP) e 587 e acionou um backdoor quando um pacote com uma sequência especial foi detectado.
Finalmente, Barracuda incentiva usuários a substituir chaves de acesso e credenciais que cruzaram com o Barracuda ESG, como os associados ao LDAP/AD e Barracuda Cloud Control. De acordo com dados preliminares, existem cerca de 11 dispositivos ESG na rede usando o serviço smtpd do Barracuda Networks Spam Firewall, que é usado no Email Security Gateway.
Sobre a substituição dos aparelhos, a equipe menciona que se realizará gratuitamente, mas a compensação pelo custo de entrega e trabalho de substituição não é especificada. Se você estiver interessado em saber mais sobre isso, você pode consultar os detalhes no link a seguir.