Barracuda đột nhiên bắt đầu kêu gọi khách hàng ESG của mình thay thế thiết bị ngay lập tức
Gần đây Mạng Barracuda (một công ty cung cấp các sản phẩm bảo mật, kết nối mạng và lưu trữ dựa trên các thiết bị mạng và dịch vụ đám mây) tiết lộ rằng đã không thể giải quyết một thất bại vàn thiết bị ESG của họ, mà yêu cầu khách hàng thay thế thiết bị, ngay cả khi phần cứng đã được vá lỗi.
Anh ấy đã thông báo về sự cần thiết phải thay thế vật lý các thiết bị ESG vàs vì chúng bị ảnh hưởng bởi phần mềm độc hại do lỗ hổng 0 ngày trong mô-đun xử lý tệp đính kèm email.
Các bản vá đã phát hành trước đây được báo cáo là không đủ để chặn sự cố cài đặt và thông tin chi tiết về vấn đề này chưa được tiết lộ, nhưng quyết định thay thế phần cứng có lẽ là do một cuộc tấn công đã cài đặt phần mềm độc hại ở cấp độ thấp và không thể xóa bằng cách flash hoặc khôi phục cài đặt gốc.
Cảnh báo của nhà cung cấp được đưa ra hai tuần sau khi Barracuda ban đầu tiết lộ lỗ hổng tiêm lệnh từ xa. được theo dõi là CVE-2023-2868. Một cuộc điều tra ứng phó sự cố với Mandiant đã tiết lộ rằng việc đánh cắp dữ liệu đã xảy ra và phần mềm độc hại có chứa cửa hậu đã được cài đặt trên một số thiết bị cổng bảo mật email (ESG). Cuộc điều tra cũng cho thấy lỗ hổng 0 ngày đã bị khai thác từ tháng 2022 năm XNUMX.
Đối với những người chưa biết về thiết bị ESG, bạn nên biết rằng đó là một gói phần cứng và phần mềm để bảo vệ email doanh nghiệp khỏi các cuộc tấn công, thư rác và vi rút.
Về vấn đề này, nó được báo cáo rằng phân tích cho thấy các thiết bị đã bị xâm phạm thông qua một lỗ hổng chưa được vá (CVE-2023-28681), mà thậm chí cho phép kẻ tấn công thực thi mã của bạn bằng cách gửi một email được chế tạo đặc biệt.
Sự cố là do thiếu xác thực hợp lệ tên tệp trong tarball được gửi trong tệp đính kèm email và cho phép thực thi lệnh tùy ý trên hệ thống cấp cao, ngăn việc thoát khi thực thi mã a thông qua toán tử Perl "qx" .
Lỗ hổng có mặt trong các thiết bị ESG được cung cấp riêng với các phiên bản phần sụn từ 5.1.3.001 đến 9.2.0.006. Việc khai thác lỗ hổng bảo mật đã được theo dõi kể từ tháng 2022 năm 2023 và cho đến tháng XNUMX năm XNUMX, vấn đề vẫn chưa được phát hiện. Những kẻ tấn công đã sử dụng lỗ hổng để cài đặt một số loại phần mềm độc hại trên các cổng: SALTWATER, SEASPY và SEASIDE, cung cấp quyền truy cập từ bên ngoài vào thiết bị và được sử dụng để chặn dữ liệu nhạy cảm.
- Cửa hậu SALTWATER được thiết kế dưới dạng mô-đun mod_udp.so cho quy trình bsmtpd SMTP và cho phép tải lên và thực thi các tệp tùy ý trên hệ thống, cũng như gửi các yêu cầu proxy và lưu lượng kênh đến một máy chủ bên ngoài. Để giành quyền kiểm soát trong cửa hậu, chúng tôi đã sử dụng biện pháp chặn các cuộc gọi hệ thống gửi, recv và đóng.
- Thành phần độc hại SEASIDE được viết bằng Lua, được cài đặt dưới dạng mô-đun mod_require_helo.lua cho máy chủ SMTP và chịu trách nhiệm giám sát các lệnh HELO/EHLO đến, phát hiện các yêu cầu máy chủ C&C và xác định các tham số để khởi chạy trình bao đảo ngược.
- SEASPY là một BarracudaMailService có thể thực thi được cài đặt như một dịch vụ hệ thống. Dịch vụ đã sử dụng bộ lọc dựa trên PCAP để giám sát lưu lượng trên các cổng mạng 25 (SMTP) và 587, đồng thời kích hoạt một cửa hậu khi phát hiện thấy một gói có trình tự đặc biệt.
Cuối cùng, Barracuda khuyến khích người dùng thay thế các khóa truy cập và thông tin xác thực đã kết hợp với Barracuda ESG, chẳng hạn như những thứ được liên kết với LDAP/AD và Barracuda Cloud Control. Theo dữ liệu sơ bộ, có khoảng 11 thiết bị ESG trên mạng sử dụng dịch vụ smtpd của Tường lửa thư rác Barracuda Networks, được sử dụng trong Cổng bảo mật email.
Về việc thay thế các thiết bị, nhóm đề cập rằng svà sẽ biểu diễn miễn phí, nhưng việc bồi thường chi phí giao hàng và công việc thay thế không được chỉ định. Nếu bạn muốn biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.