梭子魚突然開始敦促其 ESG 客戶立即更換設備
最近 梭子魚網絡(一家提供基於網絡設備和雲服務的安全、網絡和存儲產品的公司)披露說 一直無法解決故障並且n 他們的 ESG 設備,為此 要求客戶更換設備,即使硬件已打補丁。
他宣布需要物理更換 ESG 設備,並且這是因為它們受到惡意軟件的影響 由於電子郵件附件處理模塊中的 0 day 漏洞。
據報導,先前發布的補丁還不夠 阻止安裝問題及其細節尚未披露,但更換硬件的決定可能是由於攻擊安裝了低級別的惡意軟件,無法通過閃爍或恢復出廠設置來刪除。
在 Barracuda 最初披露遠程命令注入漏洞兩週後,供應商發出了警告。 追踪為 CVE-2023-2868。 與 Mandiant 進行的事件響應調查顯示,已發生數據洩露,並且包含後門的惡意軟件已安裝在某些電子郵件安全網關 (ESG) 設備上。 調查還發現,該0day漏洞自2022年XNUMX月以來一直被利用。
對於那些不了解 ESG 設備的人,您應該知道它是一個硬件和軟件的捆綁包,可以保護企業電子郵件免受攻擊、垃圾郵件和病毒的侵害。
關於這個問題,據悉 分析表明設備受到了損害 通過未修補的漏洞 (CVE-2023-28681), 甚至允許攻擊者通過發送特製電子郵件來執行您的代碼.
該問題是由於在電子郵件附件中發送的 tarball 中的文件名缺乏適當的驗證,並允許在高級系統上執行任意命令,從而防止在通過 Perl 運算符“qx”執行代碼時轉義。
脆弱性 存在於單獨提供的 ESG 設備中 固件版本從 5.1.3.001 到 9.2.0.006(含)。 自 2022 年 2023 月以來一直在跟踪對該漏洞的利用,直到 XNUMX 年 XNUMX 月,該問題才被發現。 攻擊者利用該漏洞在網關上安裝了幾種類型的惡意軟件:SALTWATER、SEASPY 和 SEASIDE,它們提供對設備的外部訪問並用於攔截敏感數據。
- SALTWATER 後門被設計為 bsmtpd SMTP 進程的 mod_udp.so 模塊,允許在系統上上傳和執行任意文件,以及向外部服務器發送代理請求和漏斗流量。 為了在後門中獲得控制權,我們使用了發送、接收和關閉系統調用的攔截。
- SEASIDE 惡意組件是用 Lua 編寫的,作為 SMTP 服務器的 mod_require_helo.lua 模塊安裝,負責監控傳入的 HELO/EHLO 命令、檢測 C&C 服務器請求以及確定啟動反向 shell 的參數。
- SEASPY 是作為系統服務安裝的 BarracudaMailService 可執行文件。 該服務使用基於 PCAP 的過濾器來監控網絡端口 25 (SMTP) 和 587 上的流量,並在檢測到具有特殊序列的數據包時觸發後門。
最後, 梭子魚鼓勵用戶更換訪問密鑰和憑證 與梭子魚 ESG 交叉的,例如與 LDAP/AD 和梭子魚雲控制相關的那些。 根據初步數據,網絡上大約有 11 台 ESG 設備使用梭子魚網絡垃圾郵件防火牆的 smtpd 服務,該服務用於電子郵件安全網關。
關於更換設備, 該團隊提到並將免費執行,但未指定對交付和更換工作的費用的補償。 如果您有興趣了解更多,可以查閱詳情 在下面的鏈接中。