Barracuda Networks e-poçt əlavələrinin idarə olunması modulunda 0 günlük boşluq nəticəsində zərərli proqramdan təsirlənən ESG (E-poçt Təhlükəsizlik Şlüzü) cihazlarının fiziki olaraq dəyişdirilməsi zərurətini elan etdi. Bildirilir ki, əvvəllər buraxılmış yamalar quraşdırma probleminin qarşısını almaq üçün kifayət etmir. Təfərrüatlar verilmir, lakin avadanlığın dəyişdirilməsi qərarı, ehtimal ki, zərərli proqram təminatının aşağı səviyyədə quraşdırıldığı və yanıb-sönmə və ya zavod parametrlərinə sıfırlama ilə aradan qaldırıla bilməyən hücumla bağlıdır. Avadanlıq pulsuz dəyişdiriləcək, lakin çatdırılma və dəyişdirmə işlərinin dəyərinə görə kompensasiya göstərilmir.
ESG korporativ e-poçtu hücumlardan, spamlardan və viruslardan qorumaq üçün aparat və proqram təminatı paketidir. Mayın 18-də ESG cihazlarından anomal trafik aşkar edilib və bunun zərərli fəaliyyətlə əlaqəli olduğu ortaya çıxıb. Təhlil göstərdi ki, qurğular xüsusi hazırlanmış e-poçt göndərməklə kodunuzu icra etməyə imkan verən yamaqsız (0 günlük) boşluqdan (CVE-2023-28681) istifadə edilərək təhlükəyə məruz qalıb. Problem e-poçt qoşmaları kimi göndərilən tar arxivlərində fayl adlarının düzgün yoxlanılmasından qaynaqlanırdı və Perl "qx" operatoru vasitəsilə kodu icra edərkən qaçışdan yan keçərək, yüksək sistemdə ixtiyari əmrin icrasına icazə verilirdi.
Zəiflik 5.1.3.001-dən 9.2.0.006 daxil olmaqla, proqram təminatı versiyaları ilə ayrıca təchiz edilmiş ESG cihazlarında (cihazında) mövcuddur. Zəifliyin istismarı 2022-ci ilin oktyabrından izlənilib və 2023-cü ilin mayına qədər problem diqqətdən kənarda qalıb. Zəiflikdən hücumçular tərəfindən şlüzlərdə bir neçə növ zərərli proqram quraşdırmaq üçün istifadə edilib - SALTWATER, SEASPY və SEASIDE, qurğuya xarici girişi (backdoor) təmin edir və məxfi məlumatların ələ keçirilməsi üçün istifadə olunur.
SALTWATER arxa qapısı bsmtpd SMTP prosesi üçün mod_udp.so modulu kimi nəzərdə tutulmuşdur və sistemdə ixtiyari faylların yüklənməsinə və işə salınmasına, həmçinin proksi sorğuların aparılmasına və xarici serverə trafikin tunelləşdirilməsinə icazə verirdi. Arxa qapıda nəzarəti əldə etmək üçün göndərmə, recv və bağlama sistem zənglərinin ələ keçirilməsindən istifadə edilib.
SEASIDE zərərli komponenti Lua dilində yazılmışdır, SMTP serveri üçün mod_require_helo.lua modulu kimi quraşdırılmışdır və daxil olan HELO/EHLO əmrlərinin monitorinqi, C&C serverindən sorğuların aşkarlanması və əks qabığın işə salınması üçün parametrlərin müəyyən edilməsi üçün məsuliyyət daşıyırdı.
SEASPY sistem xidməti kimi quraşdırılmış BarracudaMailService icraedici proqramı idi. Xidmət 25 (SMTP) və 587 şəbəkə portlarında trafikə nəzarət etmək üçün PCAP əsaslı filtrdən istifadə edib və xüsusi ardıcıllıqla paket aşkarlandıqda arxa qapını aktivləşdirib.
Mayın 20-də Barracuda, mayın 21-də bütün cihazlara çatdırılan zəifliyin aradan qaldırılması ilə bir yeniləmə buraxdı. İyunun 8-də bildirildi ki, yeniləmə kifayət deyil və istifadəçilər təhlükə altında olan cihazları fiziki olaraq dəyişdirməlidirlər. İstifadəçilər həmçinin LDAP/AD və Barracuda Cloud Control ilə əlaqəli olanlar kimi Barracuda ESG ilə kəsişən hər hansı giriş açarlarını və etimadnaməsini dəyişdirməyə təşviq edilir. İlkin məlumatlara görə, Email Security Gateway-də istifadə edilən Barracuda Networks Spam Firewall smtpd xidmətindən istifadə edən şəbəkədə təxminən 11 XNUMX ESG cihazı var.
Mənbə: opennet.ru