أعلنت شركة Barracuda Networks عن الحاجة إلى استبدال أجهزة ESG (بوابة أمان البريد الإلكتروني) المتأثرة بالبرامج الضارة نتيجة لثغرة في يوم واحد في وحدة معالجة مرفقات البريد الإلكتروني. يُذكر أن التصحيحات التي تم إصدارها مسبقًا ليست كافية لمنع مشكلة التثبيت. لم يتم تقديم التفاصيل ، ولكن من المفترض أن يكون قرار استبدال الأجهزة ناتجًا عن هجوم أدى إلى تثبيت البرامج الضارة بمستوى منخفض ولا يمكن إزالتها عن طريق الوميض أو إعادة ضبط المصنع. سيتم استبدال المعدات مجانًا ، ولكن لم يتم تحديد التعويض عن تكلفة التسليم وأعمال الاستبدال.
ESG عبارة عن حزمة أجهزة وبرامج لحماية البريد الإلكتروني للمؤسسة من الهجمات والبريد العشوائي والفيروسات. في 18 مايو ، تم اكتشاف حركة مرور شاذة من أجهزة ESG ، والتي تبين أنها مرتبطة بنشاط ضار. أظهر التحليل أن الأجهزة تم اختراقها باستخدام ثغرة أمنية غير مصححة (0 يوم) (CVE-2023-28681) ، والتي تتيح لك تنفيذ التعليمات البرمجية الخاصة بك عن طريق إرسال بريد إلكتروني معدة خصيصًا. كانت المشكلة ناتجة عن عدم وجود التحقق المناسب من أسماء الملفات في أرشيفات tar المرسلة كمرفقات بريد إلكتروني ، والسماح بتنفيذ أمر تعسفي على نظام مرتفع ، وتجاوز الهروب عند تنفيذ التعليمات البرمجية عبر مشغل Perl "qx".
توجد الثغرة الأمنية في أجهزة ESG المزودة بشكل منفصل (جهاز) مع إصدارات البرامج الثابتة من 5.1.3.001 إلى 9.2.0.006 ضمناً. تم تتبع استغلال الثغرة الأمنية منذ أكتوبر 2022 وحتى مايو 2023 ظلت المشكلة دون أن يلاحظها أحد. استخدم المهاجمون الثغرة الأمنية لتثبيت عدة أنواع من البرامج الضارة على البوابات - SALTWATER و SEASPY و SEASIDE ، والتي توفر وصولاً خارجيًا إلى الجهاز (الباب الخلفي) وتستخدم لاعتراض البيانات السرية.
تم تصميم الباب الخلفي SALTWATER كوحدة mod_udp.so لعملية SMTP bsmtpd وسمح بتحميل وتشغيل الملفات التعسفية في النظام ، بالإضافة إلى إنشاء وكلاء للطلبات وحركة المرور عبر الأنفاق إلى خادم خارجي. للتحكم في الباب الخلفي ، تم استخدام اعتراض مكالمات النظام وإرسالها واستلامها وإغلاقها.
تمت كتابة المكون الخبيث SEASIDE في Lua ، وتم تثبيته كوحدة mod_require_helo.lua لخادم SMTP ، وكان مسؤولاً عن مراقبة أوامر HELO / EHLO الواردة ، واكتشاف الطلبات من خادم C & C ، وتحديد المعلمات لإطلاق shell العكسي.
كان SEASPY ملفًا تنفيذيًا لـ BarracudaMailService تم تثبيته كخدمة نظام. استخدمت الخدمة مرشحًا قائمًا على PCAP لمراقبة حركة المرور على 25 (SMTP) و 587 منفذًا للشبكة وتنشيط الباب الخلفي عند اكتشاف حزمة ذات تسلسل خاص.
في 20 مايو ، أصدر Barracuda تحديثًا مع إصلاح للثغرة الأمنية ، والذي تم تسليمه لجميع الأجهزة في 21 مايو. في 8 يونيو ، أُعلن أن التحديث لم يكن كافيًا وأن المستخدمين بحاجة إلى استبدال الأجهزة المخترقة فعليًا. يتم تشجيع المستخدمين أيضًا على استبدال أي مفاتيح وصول وبيانات اعتماد لها مسارات متقاطعة مع Barracuda ESG ، مثل تلك المرتبطة بـ LDAP / AD و Barracuda Cloud Control. وفقًا للبيانات الأولية ، هناك حوالي 11 جهاز ESG على الشبكة باستخدام خدمة smtpd لجدار حماية البريد العشوائي من Barracuda Networks ، والتي تُستخدم في بوابة أمان البريد الإلكتروني.
المصدر: opennet.ru