Μια κρίσιμη ευπάθεια που επιδιορθώθηκε πριν από 10 ημέρες σε ευρέως χρησιμοποιούμενο λογισμικό ηλεκτρονικού ταχυδρομείου από την εταιρεία ασφάλειας πληροφορικής Barracuda Networks βρίσκεται υπό ενεργή εκμετάλλευση από τον Οκτώβριο. Η ευπάθεια έχει χρησιμοποιηθεί για την εγκατάσταση πολλαπλών κακόβουλων προγραμμάτων μέσα σε δίκτυα μεγάλων οργανισμών και την κλοπή δεδομένων, δήλωσε την Τρίτη η Barracuda.

Το σφάλμα του λογισμικού, που εντοπίζεται ως CVE-2023-2868, είναι μια απομακρυσμένη ευπάθεια έγχυσης εντολών που προέρχεται από την ελλιπή επικύρωση εισόδου των αρχείων .tar που παρέχονται από τον χρήστη, τα οποία χρησιμοποιούνται για τη συσκευασία ή την αρχειοθέτηση πολλαπλών αρχείων. Όταν τα ονόματα των αρχείων είναι διαμορφωμένα με συγκεκριμένο τρόπο, ένας εισβολέας μπορεί να εκτελέσει εντολές συστήματος μέσω του τελεστή QX, μιας λειτουργίας της γλώσσας προγραμματισμού Perl που χειρίζεται τα εισαγωγικά. Η ευπάθεια υπάρχει στις εκδόσεις 5.1.3.001 έως 9.2.0.006 της Barracuda Email Security Gateway- η Barracuda εξέδωσε ένα patch πριν από 10 ημέρες.

Την Τρίτη, η Barracuda ενημέρωσε τους πελάτες της ότι το CVE-2023-2868 βρίσκεται υπό ενεργή εκμετάλλευση από τον Οκτώβριο σε επιθέσεις που επέτρεψαν σε απειλητικούς φορείς να εγκαταστήσουν πολλαπλά κομμάτια κακόβουλου λογισμικού για χρήση στην εξαπόλυση ευαίσθητων δεδομένων από μολυσμένα δίκτυα.

"Οι χρήστες των οποίων οι συσκευές πιστεύουμε ότι επηρεάστηκαν έχουν ενημερωθεί μέσω του περιβάλλοντος εργασίας χρήστη ESG για τις ενέργειες που πρέπει να αναλάβουν", ανέφερε η ειδοποίηση της Τρίτης. "Η Barracuda έχει επίσης επικοινωνήσει με αυτούς τους συγκεκριμένους πελάτες. Κατά τη διάρκεια της έρευνας ενδέχεται να εντοπιστούν επιπλέον πελάτες".

Το κακόβουλο λογισμικό που έχει εντοπιστεί μέχρι σήμερα περιλαμβάνει πακέτα που εντοπίστηκαν ως Saltwater, Seaside και Seaspy. Το Saltwater είναι ένα κακόβουλο module για τον δαίμονα SMTP (bsmtpd) που χρησιμοποιεί το Barracuda ESG. Το module περιέχει λειτουργίες backdoor που περιλαμβάνουν τη δυνατότητα να ανεβάζει ή να κατεβάζει αυθαίρετα αρχεία, να εκτελεί εντολές και να παρέχει δυνατότητες proxy και tunneling.

Το Seaside είναι ένα εκτελέσιμο αρχείο x64 σε μορφή ELF (executable and linkable format), το οποίο αποθηκεύει δυαδικά προγράμματα, βιβλιοθήκες και απορρίψεις πυρήνα σε δίσκους σε συστήματα Linux και Unix. Παρέχει ένα persistence backdoor που παριστάνει μια νόμιμη υπηρεσία της Barracuda Networks και εγκαθίσταται ως φίλτρο PCAP για τη σύλληψη πακέτων δεδομένων που ρέουν μέσω ενός δικτύου και την εκτέλεση διαφόρων λειτουργιών. Το Seaside παρακολουθεί την παρακολούθηση στη θύρα 25, η οποία χρησιμοποιείται για το ηλεκτρονικό ταχυδρομείο που βασίζεται στο SMTP.

Μπορεί να ενεργοποιηθεί χρησιμοποιώντας ένα "μαγικό πακέτο" που είναι γνωστό μόνο στον επιτιθέμενο, αλλά φαίνεται αθώο σε όλους τους άλλους. Η Mandiant, η εταιρεία ασφαλείας που προσέλαβε η Barracuda για να διερευνήσει τις επιθέσεις, δήλωσε ότι βρήκε κώδικα στο Seaspy που επικαλύπτεται με το δημόσια διαθέσιμο backdoor cd00r.

Το Seaside, εν τω μεταξύ, είναι ένα module για το daemon SMTP της Barracuda (bsmtpd) που παρακολουθεί εντολές, συμπεριλαμβανομένων των SMTP HELO/EHLO για τη λήψη μιας διεύθυνσης IP και θύρας εντολής και ελέγχου για τη δημιουργία ενός αντίστροφου κελύφους.

Η ειδοποίηση της Τρίτης περιλαμβάνει κρυπτογραφικούς κατακερματισμούς, διευθύνσεις IP, θέσεις αρχείων και άλλους δείκτες παραβίασης που σχετίζονται με την εκμετάλλευση του CVE-2023-2868 και την εγκατάσταση του κακόβουλου λογισμικού. Οι αξιωματούχοι της εταιρείας προέτρεψαν επίσης όλους τους πελάτες που έχουν επηρεαστεί να προβούν στις ακόλουθες ενέργειες:

Ensure your ESG appliance is receiving and applying updates, definitions, and security patches from Barracuda. Contact Barracuda support (support@barracuda.com) to validate if the appliance is up to date.

Discontinue the use of the compromised ESG appliance and contact Barracuda support (support@barracuda.com) to obtain a new ESG virtual or hardware appliance.

Rotate any applicable credentials connected to the ESG appliance:
o Any connected LDAP/AD
o Barracuda Cloud Control
o FTP Server
o SMB
o Any private TLS certificates

Review your network logs for any of the [indicators of compromise] and any unknown IPs. Contact compliance@barracuda.com if any are identified.
by Deepl

Πηγή : Ars Technica