Barracuda Networks обяви необходимостта от физическа подмяна на ESG (Email Security Gateway) устройства, засегнати от зловреден софтуер в резултат на 0-дневна уязвимост в модула за обработка на прикачени файлове към имейл. Съобщава се, че издадените по-рано корекции не са достатъчни, за да блокират проблема с инсталацията. Не се дават подробности, но решението за подмяна на хардуера вероятно се дължи на атака, която е инсталирала зловреден софтуер на ниско ниво и не може да бъде премахната чрез флашване или нулиране на фабричните настройки. Оборудването ще бъде заменено безплатно, но не е посочено обезщетение за разходите за доставка и подмяна.
ESG е хардуерен и софтуерен пакет за защита на корпоративната електронна поща от атаки, спам и вируси. На 18 май беше открит аномален трафик от ESG устройства, който се оказа свързан със злонамерена дейност. Анализът показа, че устройствата са били компрометирани с помощта на непоправена (0-дневна) уязвимост (CVE-2023-28681), която ви позволява да изпълните своя код чрез изпращане на специално създаден имейл. Проблемът беше причинен от липса на правилно валидиране на имена на файлове в tar архиви, изпратени като прикачени файлове към имейл, и позволи произволна команда да бъде изпълнена на повишена система, заобикаляйки избягването при изпълнение на код чрез Perl "qx" оператора.
Уязвимостта присъства в отделно доставени ESG устройства (уреди) с версии на фърмуера от 5.1.3.001 до 9.2.0.006 включително. Използването на уязвимостта е проследено от октомври 2022 г. и до май 2023 г. проблемът остава незабелязан. Уязвимостта е използвана от атакуващите, за да инсталират няколко вида зловреден софтуер на шлюзове - SALTWATER, SEASPY и SEASIDE, които осигуряват външен достъп до устройството (backdoor) и се използват за прихващане на поверителни данни.
Задната врата на SALTWATER е проектирана като модул mod_udp.so за SMTP процеса bsmtpd и позволява зареждане и стартиране на произволни файлове в системата, както и прокси заявки и тунелиране на трафик към външен сървър. За да се получи контрол в задната врата, беше използвано прихващане на системни повиквания за изпращане, приемане и затваряне.
Злонамереният компонент SEASIDE е написан на Lua, инсталиран като модул mod_require_helo.lua за SMTP сървъра и отговаря за наблюдението на входящите HELO/EHLO команди, откриването на заявки от C&C сървъра и определянето на параметри за стартиране на обратната обвивка.
SEASPY беше изпълним файл на BarracudaMailService, инсталиран като системна услуга. Услугата използва базиран на PCAP филтър за наблюдение на трафика на 25 (SMTP) и 587 мрежови порта и активира задна врата, когато бъде открит пакет със специална последователност.
На 20 май Barracuda пусна актуализация с корекция на уязвимостта, която беше доставена на всички устройства на 21 май. На 8 юни беше обявено, че актуализацията не е достатъчна и потребителите трябва физически да сменят компрометираните устройства. Потребителите също се насърчават да заменят всички ключове за достъп и идентификационни данни, които са се пресичали с Barracuda ESG, като тези, свързани с LDAP/AD и Barracuda Cloud Control. По предварителни данни има около 11 XNUMX ESG устройства в мрежата, използващи услугата Barracuda Networks Spam Firewall smtpd, която се използва в Email Security Gateway.
Източник: opennet.ru